חוקרי צ'ק פוינט (Check Point Research) חשפו קבוצת תקיפה בשם Cavern Manticore, המשויכת לאיראן ופועלת נגד ארגוני ממשל וטכנולוגיה בישראל מאז תחילת 2026. לפי הדוח, הקבוצה חולקת חפיפות טכניות עם MuddyWater ו-Lyceum, שתי קבוצות המיוחסות למשרד המודיעין והביטחון האיראני (MOIS).

מה שהופך את הדוח למעניין במיוחד הוא התשתית: הקבוצה משתמשת בפריימוורק פיקוד ובקרה (C2) מודולרי חדש ובלתי מתועד קודם, הבנוי על תשתית משותפת של .NET אך מקומפל במספר פורמטים שונים – .NET Framework רגיל, C++/CLI במצב מעורב, ו-.NET Native AOT. הבחירה במגוון פורמטי קומפילציה אינה מקרית: היא מקשה על חוקרים וכלי הגנה לזהות דפוס חתימה אחיד, ומאפשרת לתוקפים להתאים כל רכיב בנפרד לסביבת היעד הספציפית.

הארכיטקטורה המודולרית מאפשרת לתוקפים להרחיב גישה לאחר החדירה הראשונית באמצעות מודולים ייעודיים לאיסוף מידע ולתנועה רוחבית ברשת, תוך הגבלת המידע שניתן לשחזר מכל קורבן בודד – כך שגם אם רכיב אחד מתגלה ומנותח, שאר התשתית נשארת חשופה פחות.

דרך הכניסה העיקרית שנצפתה היא ניצול לרעה של תוכנות ניהול וניטור מרחוק (RMM) לגיטימיות שכבר מותקנות בסביבת הקורבן. באמצעות התחזות לעדכוני תוכנה חוקיים, הקבוצה מצליחה לנוע בין קורבנות ולהפיץ תוכנה זדונית תוך שמירה על פרופיל נמוך. רוב הדגימות שנבדקו קיבלו ציוני זיהוי אפסיים או נמוכים מאוד ב-VirusTotal, עדות ליכולות ההתחמקות המתקדמות של הקבוצה מפתרונות אבטחה מסורתיים.

לארגוני ממשל וטכנולוגיה בישראל: מומלץ לבחון מחדש את רשימת כלי ה-RMM המורשים ברשת, לוודא חתימה ומקור מאומתים לכל עדכון תוכנה המגיע דרך ערוצים אלו, ולהגביר ניטור על תעבורת רשת יוצאת חריגה גם כאשר כלי האבטחה המסורתיים אינם מתריעים.