Porta del darrere mística

El Mezo el Portes del darrere

Traduir a:

Una sofisticada porta del darrere coneguda com a Mistic, també rastrejada com a MLTBackdoor, ha aparegut en una onada de presumptes ciberatacs amb motivació financera que han estat actius des de l'abril del 2026. El programari maliciós s'ha detectat en atacs contra organitzacions que operen en els sectors de les assegurances, l'educació, les tecnologies de la informació i els serveis professionals.

Investigadors de seguretat han vinculat l'operació amb el broker d'accés inicial (IAB) KongTuke, també conegut per diversos àlies, com ara 404 TDS, Chaya_002, LandUpdate808, TAG-124 i Woodgnat. Durant aquestes intrusions, Mistic s'ha desplegat juntament amb ModeloRAT, un troià d'accés remot basat en Python que anteriorment s'havia atribuït al mateix actor d'amenaces.

Taula de continguts

Dissenyat per a l’accés furtiu i a llarg termini

Mistic destaca per la seva capacitat d'operar completament en memòria sense escriure fitxers al disc, cosa que redueix significativament les possibilitats de detecció. El programari maliciós també incorpora un interruptor de detenció integrat que li permet esborrar-se quan cal. Aquestes característiques suggereixen que els operadors estan centrats en mantenir un accés persistent i encobert a entorns compromesos.

Per evitar cridar l'atenció, el programari maliciós es basa en tècniques de càrrega lateral de DLL, abusant de la utilitat de seguretat de punt final legítima de Microsoft, MpExtMs.exe, per barrejar-se amb l'activitat normal del sistema.

L’evolució de les campanyes de lliurament de ClickFix

ModeloRAT va cridar l'atenció per primera vegada el gener de 2026 durant les investigacions sobre una variant de campanya de ClickFix coneguda com a CrashFix. En aquesta operació, els actors de KongTuke van distribuir una extensió maliciosa de Google Chrome disfressada de bloquejador d'anuncis. L'extensió feia fallar intencionadament els navegadors de les víctimes i després les enganyava perquè executessin ordres malicioses amb el pretext de realitzar una anàlisi de seguretat.

Una altra campanya de ClickFix va utilitzar un enfocament diferent instruint les víctimes perquè executessin ordres que realitzaven una cerca al Sistema de Noms de Domini (DNS). La sol·licitud DNS s'utilitzava per recuperar la càrrega útil de la següent etapa, convertint efectivament el DNS en un mecanisme lleuger de posada en escena i senyalització per als atacants.

El juny de 2026, els investigadors també van destacar l'ús de ClickFix com a mecanisme de lliurament per a Mistic, atribuint l'activitat a un actor d'amenaces associat al ransomware que intentava obtenir un punt de suport inicial i facilitar el moviment lateral a través de les xarxes.

Capacitats que fan que Mistic sigui altament perillós

La porta del darrere ofereix un ampli conjunt de funcions que s'associen habitualment amb programari maliciós d'accés remot avançat, com ara:

Pujar i descarregar fitxers, crear carpetes i moure, canviar de nom o suprimir fitxers.
Executar codi maliciós directament a la memòria, carregar fitxers d'objectes Beacon per ampliar la funcionalitat, modificar intervals de sondeig d'ordres i finalitzar i suprimir-se per eliminar proves.

Segmentació oportunista i connexions de ransomware

La campanya sembla seguir un model oportunista en lloc de centrar-se en una sola indústria. Segons sembla, els atacants estan comprometent una àmplia gamma d'organitzacions i després avaluant quines víctimes podrien proporcionar oportunitats d'accés rendibles per a la venda a altres ciberdelinqüents.

Els investigadors també han observat ModeloRAT en atacs que finalment van resultar en el desplegament del ransomware Qilin, reforçant la connexió entre els agents d'accés inicial i els operadors de ransomware.

L’arsenal en expansió de tècniques d’enginyeria social de KongTuke

KongTuke opera un sofisticat sistema de distribució de trànsit (TDS) basat en llocs web de WordPress compromesos. Aquesta infraestructura s'utilitza per presentar esquers que canvien contínuament i redirigeixen els visitants desprevinguts cap a les cadenes de distribució de programari maliciós.

Més recentment, les empreses de seguretat Rapid7 i ReliaQuest van informar que l'actor ha canviat de tàctica enviant missatges de Microsoft Teams des de comptes fraudulentes de "suport informàtic". Aquests missatges inicien una cadena d'atacs que culmina amb el desplegament de ModeloRAT.

Una tendència creixent en el desenvolupament de programari maliciós personalitzat

La sofisticació de Mistic i la sospita de participació de Woodgnat en el desenvolupament de ModeloRAT apunten a un grup altament qualificat especialitzat en eines d'accés remot furtiu. L'aparició de Backdoor.Mistic també reflecteix una tendència més àmplia de la indústria en què les operacions de ransomware depenen cada cop més de programari maliciós personalitzat, utilitats d'exfiltració i eines d'accés especialitzades.

L'evidència actual suggereix que Mistic és probablement el producte de brokers d'accés que col·laboren amb afiliats de ransomware en lloc d'una eina desenvolupada directament per un grup de ransomware.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió