Mystické zadní vrátka
Sofistikovaný backdoor známý jako Mistic, sledovaný také jako MLTBackdoor, se objevil v rámci vlny podezřelých finančně motivovaných kybernetických útoků, které probíhají od dubna 2026. Malware byl detekován při útocích na organizace působící v sektorech pojišťovnictví, vzdělávání, informačních technologií a profesionálních služeb.
Bezpečnostní výzkumníci spojili operaci s původním zprostředkovatelem přístupu (IAB) KongTuke, známým také pod několika aliasy, včetně 404 TDS, Chaya_002, LandUpdate808, TAG-124 a Woodgnat. Během těchto útoků byl Mistic nasazen společně s ModeloRAT, trojským koněm pro vzdálený přístup založeným na Pythonu, který byl dříve připisován stejnému aktérovi hrozby.
Obsah
Navrženo pro nenápadný a dlouhodobý přístup
Mistic vyniká svou schopností fungovat výhradně v paměti, aniž by zapisoval soubory na disk, což výrazně snižuje pravděpodobnost odhalení. Malware také obsahuje vestavěný kill switch, který mu umožňuje v případě potřeby se smazat. Tyto vlastnosti naznačují, že se operátoři zaměřují na udržování trvalého a skrytého přístupu do kompromitovaného prostředí.
Aby se vyhnul přitahování pozornosti, spoléhá se na techniky bočního načítání DLL a zneužívá legitimní utilitu MpExtMs.exe pro zabezpečení koncových bodů od společnosti Microsoft k tomu, aby se začlenil do běžné činnosti systému.
Vývoj doručovacích kampaní ClickFix
ModeloRAT se poprvé dostal do povědomí v lednu 2026 během vyšetřování varianty kampaně ClickFix známé jako CrashFix. V rámci této operace aktéři KongTuke distribuovali škodlivé rozšíření pro Google Chrome maskované jako blokovač reklam. Rozšíření úmyslně shazovalo prohlížeče obětí a poté je pod rouškou bezpečnostní kontroly oklamalo k provedení škodlivých příkazů.
Jiná kampaň ClickFix použila odlišný přístup, kdy obětem nařídila spustit příkazy, které provedly vyhledávání v systému DNS (Domain Name System). Požadavek DNS byl poté použit k načtení dalšího datového zatížení, čímž se DNS efektivně proměnil v odlehčený mechanismus pro přípravu a signalizaci útoků pro útočníky.
V červnu 2026 výzkumníci také zdůraznili použití ClickFixu jako mechanismu pro doručování útoků Mistic a připsali tuto aktivitu aktérovi hrozby spojenému s ransomwarem, který se snaží získat počáteční oporu a usnadnit laterální pohyb napříč sítěmi.
Schopnosti, které činí Mistic velmi nebezpečným
Backdoor nabízí širokou škálu funkcí běžně spojovaných s pokročilým malwarem pro vzdálený přístup, včetně:
Nahrávání a stahování souborů, vytváření složek a přesouvání, přejmenování nebo mazání souborů.
Spouštění škodlivého kódu přímo v paměti, načítání objektových souborů Beacon pro rozšíření funkčnosti, úprava intervalů dotazování příkazů a ukončení a mazání sebe sama za účelem eliminace důkazů.
Oportunistické cílení a propojení s ransomwarem
Zdá se, že kampaň sleduje oportunistický model, spíše než aby se zaměřovala na jedno odvětví. Útočníci údajně kompromitují širokou škálu organizací a poté vyhodnocují, které oběti by mohly poskytnout ziskové příležitosti k prodeji dalším kyberzločincům.
Výzkumníci také pozorovali ModeloRAT u útoků, které nakonec vedly k nasazení ransomwaru Qilin, čímž posílili spojení mezi zprostředkovateli prvotního přístupu a provozovateli ransomwaru.
KongTukeův rozšiřující se arzenál technik sociálního inženýrství
KongTuke provozuje sofistikovaný systém distribuce provozu (TDS) postavený na napadených webech WordPressu. Tato infrastruktura se používá k zobrazování neustále se měnících lákadel, která přesměrovávají nic netušící návštěvníky na řetězce distribuce malwaru.
Bezpečnostní společnosti Rapid7 a ReliaQuest nedávno oznámily, že útočník změnil taktiku a odesílá zprávy z Microsoft Teams z podvodných účtů „IT podpory“. Tyto zprávy spouštějí řetězec útoků, který vrcholí nasazením ModeloRAT.
Rostoucí trend ve vývoji malwaru na zakázku
Sofistikovanost Misticu a podezření na zapojení Woodgnata do vývoje ModeloRATu ukazují na vysoce kvalifikovanou skupinu specializující se na nenápadné nástroje pro vzdálený přístup. Vznik Backdoor.Mistic také odráží širší trend v odvětví, v němž se operace ransomwaru stále více spoléhají na zakázkově vytvořený malware, nástroje pro exfiltraci a specializované nástroje pro přístup.
Současné důkazy naznačují, že Mistic je pravděpodobně produktem spolupráce zprostředkovatelů přístupu s ransomwarovými partnery, spíše než nástrojem vyvinutým přímo samotnou ransomwarovou skupinou.
