Mistic Bagdør
En sofistikeret bagdør kendt som Mistic, også kendt som MLTBackdoor, er dukket op i en bølge af formodede økonomisk motiverede cyberangreb, der har været aktive siden april 2026. Malwaren er blevet opdaget i angreb mod organisationer, der opererer inden for forsikring, uddannelse, informationsteknologi og professionelle servicesektorer.
Sikkerhedsforskere har knyttet operationen til den indledende adgangsbroker (IAB) KongTuke, også kendt under flere alias, herunder 404 TDS, Chaya_002, LandUpdate808, TAG-124 og Woodgnat. Under disse indbrud er Mistic blevet implementeret sammen med ModeloRAT, en Python-baseret fjernadgangstrojan, der tidligere blev tilskrevet den samme trusselsaktør.
Indholdsfortegnelse
Designet til skjult brug og langvarig adgang
Mistic skiller sig ud på grund af sin evne til at operere udelukkende i hukommelsen uden at skrive filer til disken, hvilket reducerer chancerne for opdagelse betydeligt. Malwaren har også en indbygget kill switch, der gør det muligt for den at slette sig selv, når det er nødvendigt. Disse egenskaber tyder på, at operatørerne fokuserer på at opretholde vedvarende og skjult adgang til kompromitterede miljøer.
For at undgå at tiltrække opmærksomhed bruger malwaren DLL-sideloading-teknikker og misbruger Microsofts legitime endpoint-sikkerhedsværktøj MpExtMs.exe til at integreres i normal systemaktivitet.
Udviklingen af ClickFix-leveringskampagner
ModeloRAT fik første gang opmærksomhed i januar 2026 under undersøgelser af en ClickFix-kampagnevariant kendt som CrashFix. I denne operation distribuerede KongTuke-aktører en ondsindet Google Chrome-udvidelse forklædt som en annonceblokerer. Udvidelsen crashte bevidst ofrenes browsere og narrede dem derefter til at udføre ondsindede kommandoer under dække af at udføre en sikkerhedsscanning.
En anden ClickFix-kampagne brugte en anderledes tilgang ved at instruere ofrene i at udføre kommandoer, der udførte et Domain Name System (DNS-opslag). DNS-anmodningen blev derefter brugt til at hente næste-trins nyttelast, hvilket effektivt forvandlede DNS til en letvægts staging- og signaleringsmekanisme for angriberne.
I juni 2026 fremhævede forskere også brugen af ClickFix som en leveringsmekanisme for Mistic og tilskrev aktiviteten til en ransomware-associeret trusselsaktør, der forsøgte at få et indledende fodfæste og muliggøre lateral bevægelse på tværs af netværk.
Evner, der gør Mistic yderst farlig
Bagdøren tilbyder en bred vifte af funktioner, der ofte forbindes med avanceret malware til fjernadgang, herunder:
Upload og download af filer, oprettelse af mapper og flytning, omdøbning eller sletning af filer.
Udførelse af skadelig kode direkte i hukommelsen, indlæsning af Beacon Object Files for at udvide funktionalitet, ændring af kommandopollingintervaller og afslutning og sletning af sig selv for at eliminere beviser.
Opportunistisk målretning og forbindelser til ransomware
Kampagnen ser ud til at følge en opportunistisk model snarere end at fokusere på en enkelt branche. Angribere kompromitterer angiveligt en bred vifte af organisationer og evaluerer derefter, hvilke ofre der kan give profitable adgangsmuligheder til salg til andre cyberkriminelle.
Forskere har også observeret ModeloRAT i angreb, der i sidste ende resulterede i implementeringen af Qilin ransomware, hvilket forstærker forbindelsen mellem initial access brokers og ransomware-operatører.
KongTukes voksende arsenal af social engineering-teknikker
KongTuke driver et sofistikeret trafikdistributionssystem (TDS) bygget på kompromitterede WordPress-websteder. Denne infrastruktur bruges til at præsentere konstant skiftende lokkemidler, der omdirigerer intetanende besøgende mod malware-leveringskæder.
For nylig rapporterede sikkerhedsvirksomhederne Rapid7 og ReliaQuest, at trusselaktøren har ændret taktik ved at sende Microsoft Teams-beskeder fra falske 'IT-support'-konti. Disse beskeder starter en angrebskæde, der kulminerer i implementeringen af ModeloRAT.
En voksende tendens inden for udvikling af brugerdefineret malware
Mistics sofistikerede karakter og den formodede involvering af Woodgnat i udviklingen af ModeloRAT peger på en højt kvalificeret gruppe, der specialiserer sig i skjulte fjernadgangsværktøjer. Fremkomsten af Backdoor.Mistic afspejler også en bredere branchtrend, hvor ransomware-operationer i stigende grad er afhængige af specialbygget malware, exfiltration-værktøjer og specialiserede adgangsværktøjer.
Nuværende beviser tyder på, at Mistic sandsynligvis er et produkt af adgangsmæglere, der samarbejder med ransomware-tilknyttede virksomheder, snarere end et værktøj, der er udviklet direkte af en ransomware-gruppe selv.
