Мистична задна врата
Сложна задна врата, известна като Mistic, проследявана още като MLTBackdoor, се появи във вълна от предполагаеми финансово мотивирани кибератаки, които са активни от април 2026 г. Зловредният софтуер е открит при атаки срещу организации, работещи в секторите на застраховането, образованието, информационните технологии и професионалните услуги.
Изследователи по сигурността са свързали операцията с първоначалния брокер на достъп (IAB) KongTuke, известен също с няколко псевдонима, включително 404 TDS, Chaya_002, LandUpdate808, TAG-124 и Woodgnat. По време на тези прониквания Mistic е бил внедрен заедно с ModeloRAT, троянски кон за отдалечен достъп, базиран на Python, който преди това е бил приписван на същия злонамерен участник.
Съдържание
Проектиран за скритост и дългосрочен достъп
Mistic се откроява със способността си да работи изцяло в паметта, без да записва файлове на диск, което значително намалява шансовете за откриване. Зловредният софтуер включва и вграден авариен ключ, който му позволява да се самоизтрие, когато е необходимо. Тези характеристики предполагат, че операторите са фокусирани върху поддържането на постоянен и скрит достъп до компрометирана среда.
За да избегне привличането на внимание, зловредният софтуер разчита на техники за странично зареждане на DLL файлове, злоупотребявайки с легитимната помощна програма за сигурност на крайните точки на Microsoft MpExtMs.exe, за да се слее с нормалната системна активност.
Еволюцията на кампаниите за доставка на ClickFix
ModeloRAT за първи път привлече вниманието през януари 2026 г. по време на разследвания на вариант на кампанията ClickFix, известен като CrashFix. В тази операция, участници в KongTuke разпространиха злонамерено разширение за Google Chrome, маскирано като блокер на реклами. Разширението умишлено сриваше браузърите на жертвите и след това ги подвеждаше да изпълнят злонамерени команди под прикритието на извършване на сканиране за сигурност.
Друга кампания на ClickFix използва различен подход, като инструктира жертвите да изпълняват команди, които извършват търсене в DNS (Domain Name System). DNS заявката след това се използва за извличане на следващия етап от обработката на данни, като по този начин DNS се превръща в лек механизъм за подготовка и сигнализация за нападателите.
През юни 2026 г. изследователи също така подчертаха използването на ClickFix като механизъм за доставка за Mistic, приписвайки активността на свързан с ransomware злонамерен персонаж, който се опитва да получи първоначална опора и да улесни страничното движение през мрежите.
Способности, които правят Мистик изключително опасен
Задната вратичка предлага широк набор от функции, обикновено свързани със злонамерен софтуер за отдалечен достъп, включително:
Качване и изтегляне на файлове, създаване на папки и преместване, преименуване или изтриване на файлове.
Изпълняване на зловреден код директно в паметта, зареждане на Beacon Object Files за разширяване на функционалността, промяна на интервалите за запитване на команди и прекратяване и изтриване на себе си за елиминиране на доказателства.
Опортюнистично таргетиране и връзки с ransomware
Кампанията изглежда следва опортюнистичен модел, вместо да се фокусира върху една единствена индустрия. Съобщава се, че нападателите компрометират широк кръг от организации и след това оценяват кои жертви биха могли да предоставят печеливши възможности за достъп за продажба на други киберпрестъпници.
Изследователите също са наблюдавали ModeloRAT при атаки, които в крайна сметка са довели до внедряването на рансъмуер вируса Qilin, засилвайки връзката между първоначалните брокери на достъп и операторите на рансъмуер.
Разширяващият се арсенал от техники за социално инженерство на KongTuke
KongTuke управлява сложна система за разпределение на трафика (TDS), изградена върху компрометирани уебсайтове на WordPress. Тази инфраструктура се използва за представяне на непрекъснато променящи се примамки, които пренасочват нищо неподозиращи посетители към вериги за доставка на зловреден софтуер.
Съвсем наскоро компаниите за сигурност Rapid7 и ReliaQuest съобщиха, че злонамереният актьор е променил тактиката си, като изпраща съобщения до Microsoft Teams от измамнически акаунти за „ИТ поддръжка“. Тези съобщения инициират верига от атаки, която завършва с внедряването на ModeloRAT.
Нарастваща тенденция в разработването на персонализиран зловреден софтуер
Сложността на Mistic и предполагаемото участие на Woodgnat в разработването на ModeloRAT сочат към висококвалифицирана група, специализирана в скрити инструменти за отдалечен достъп. Появата на Backdoor.Mistic също отразява по-широка тенденция в индустрията, в която операциите с ransomware все повече разчитат на персонализиран зловреден софтуер, инструменти за извличане на данни и специализирани инструменти за достъп.
Настоящите данни сочат, че Mistic вероятно е продукт на сътрудничество на брокери на достъп с партньори на ransomware, а не инструмент, разработен директно от самата ransomware група.
