Mistic Backdoor
ظهر باب خلفي متطور يُعرف باسم Mistic، والذي يتم تتبعه أيضًا باسم MLTBackdoor، في موجة من الهجمات الإلكترونية المشتبه في أنها ذات دوافع مالية والتي كانت نشطة منذ أبريل 2026. وقد تم اكتشاف البرامج الضارة في هجمات ضد منظمات تعمل في قطاعات التأمين والتعليم وتكنولوجيا المعلومات والخدمات المهنية.
ربط باحثو الأمن السيبراني العملية ببرنامج وسيط الوصول الأولي (IAB) المسمى KongTuke، والمعروف أيضاً بعدة أسماء مستعارة، منها 404 TDS وChaya_002 وLandUpdate808 وTAG-124 وWoodgnat. وخلال هذه الاختراقات، تم نشر برنامج Mistic بالتزامن مع برنامج ModeloRAT، وهو حصان طروادة للوصول عن بُعد مبني على لغة بايثون، والذي نُسب سابقاً إلى نفس الجهة الفاعلة في التهديد.
جدول المحتويات
مصمم للتخفي والوصول طويل الأمد
يتميز برنامج Mistic الخبيث بقدرته على العمل كليًا في الذاكرة دون كتابة أي ملفات على القرص، مما يقلل بشكل كبير من فرص اكتشافه. كما يتضمن البرنامج آلية إيقاف تلقائي مدمجة تسمح له بحذف نفسه عند الضرورة. تشير هذه الخصائص إلى أن القائمين على تشغيله يركزون على الحفاظ على وصول دائم وسري إلى البيئات المخترقة.
ولتجنب لفت الانتباه، يعتمد البرنامج الضار على تقنيات التحميل الجانبي لملفات DLL، مستغلاً أداة أمان نقاط النهاية الشرعية من مايكروسوفت MpExtMs.exe للاندماج في نشاط النظام العادي.
تطور حملات توصيل ClickFix
لفت برنامج ModeloRAT الأنظار لأول مرة في يناير 2026 خلال التحقيقات في نسخة معدلة من حملة ClickFix تُعرف باسم CrashFix. في هذه العملية، قام أعضاء مجموعة KongTuke بتوزيع إضافة خبيثة لمتصفح جوجل كروم مُتنكرة في هيئة مانع إعلانات. تعمدت هذه الإضافة تعطيل متصفحات الضحايا ثم خدعتهم لتنفيذ أوامر خبيثة تحت ستار إجراء فحص أمني.
استخدمت حملة أخرى لـ ClickFix أسلوبًا مختلفًا، حيث وجّهت الضحايا لتنفيذ أوامر تُجري بحثًا في نظام أسماء النطاقات (DNS). ثم استُخدم طلب DNS لاسترداد حمولة المرحلة التالية، ما حوّل نظام أسماء النطاقات فعليًا إلى آلية تمهيد وإشارة خفيفة الوزن للمهاجمين.
في يونيو 2026، سلط الباحثون الضوء أيضًا على استخدام ClickFix كآلية توصيل لبرنامج Mistic، ونسبوا النشاط إلى جهة تهديد مرتبطة ببرامج الفدية تحاول الحصول على موطئ قدم أولي وتسهيل الحركة الجانبية عبر الشبكات.
القدرات التي تجعل ميستيك شديد الخطورة
يوفر الباب الخلفي مجموعة واسعة من الوظائف المرتبطة عادةً بالبرامج الضارة المتقدمة للوصول عن بعد، بما في ذلك:
تحميل وتنزيل الملفات، وإنشاء المجلدات، ونقل الملفات أو إعادة تسميتها أو حذفها.
تنفيذ التعليمات البرمجية الخبيثة مباشرة في الذاكرة، وتحميل ملفات كائنات Beacon لتوسيع الوظائف، وتعديل فترات استطلاع الأوامر، وإنهاء وحذف نفسه للتخلص من الأدلة.
الاستهداف الانتهازي وعلاقات برامج الفدية
يبدو أن الحملة تتبع نموذجاً انتهازياً بدلاً من التركيز على قطاع واحد. وتشير التقارير إلى أن المهاجمين يخترقون مجموعة واسعة من المؤسسات، ثم يقيمون الضحايا الذين قد يوفرون فرصاً مربحة لبيع بياناتهم لمجرمي الإنترنت الآخرين.
وقد لاحظ الباحثون أيضًا وجود برنامج ModeloRAT في الهجمات التي أدت في النهاية إلى نشر برنامج الفدية Qilin، مما يعزز العلاقة بين وسطاء الوصول الأولي ومشغلي برامج الفدية.
ترسانة كونغ توك المتنامية من تقنيات الهندسة الاجتماعية
تُشغّل شركة KongTuke نظامًا متطورًا لتوزيع حركة المرور (TDS) مبنيًا على مواقع ووردبريس مخترقة. تُستخدم هذه البنية التحتية لعرض عناصر خداع متغيرة باستمرار تُعيد توجيه الزوار غير المشتبه بهم نحو سلاسل توصيل البرامج الضارة.
في الآونة الأخيرة، أفادت شركتا الأمن Rapid7 وReliaQuest بأن الجهة المهاجمة قد غيّرت أساليبها، حيث باتت ترسل رسائل عبر منصة مايكروسوفت تيمز من حسابات مزيفة تدّعي أنها "دعم فني". وتؤدي هذه الرسائل إلى بدء سلسلة هجمات تنتهي بنشر برنامج ModeloRAT الخبيث.
اتجاه متزايد في تطوير البرمجيات الخبيثة المخصصة
يشير تطور برنامج Mistic الخبيث، والشكوك حول تورط Woodgnat في تطوير ModeloRAT، إلى وجود مجموعة ذات مهارات عالية متخصصة في أدوات الوصول عن بُعد الخفية. كما يعكس ظهور Backdoor.Mistic اتجاهًا أوسع في هذا المجال، حيث تعتمد عمليات برامج الفدية بشكل متزايد على البرامج الخبيثة المصممة خصيصًا، وأدوات استخراج البيانات، وأدوات الوصول المتخصصة.
تشير الأدلة الحالية إلى أن برنامج Mistic هو على الأرجح نتاج تعاون وسطاء الوصول مع جهات تابعة لبرامج الفدية بدلاً من كونه أداة طورتها مجموعة برامج الفدية نفسها بشكل مباشر.
