Müstiline tagauks
Keerukas tagauks, mida tuntakse Mistic nime all ja mida jälgitakse ka kui MLTBackdoor, on ilmunud pinnale kahtlustatavate rahaliselt motiveeritud küberrünnakute laines, mis on olnud aktiivsed alates 2026. aasta aprillist. Pahavara on avastatud rünnakutes organisatsioonide vastu, mis tegutsevad kindlustus-, haridus-, infotehnoloogia- ja professionaalsete teenuste sektoris.
Turvauurijad on seostanud operatsiooni esmase juurdepääsu vahendajaga (IAB) KongTuke, mida tuntakse ka mitmete varjunimede all, sealhulgas 404 TDS, Chaya_002, LandUpdate808, TAG-124 ja Woodgnat. Nende sissetungide ajal kasutati Misticut koos ModeloRATiga, mis on Pythoni-põhine kaugjuurdepääsu trooja, mida varem omistati samale ohutegijale.
Sisukord
Loodud varjatud ja pikaajaliseks juurdepääsuks
Mistic paistab silma oma võime poolest töötada täielikult mälus ilma faile kettale kirjutamata, mis vähendab oluliselt avastamise võimalusi. Pahavara sisaldab ka sisseehitatud tapmislülitit, mis võimaldab tal vajadusel end kustutada. Need omadused viitavad sellele, et operaatorid keskenduvad püsiva ja varjatud juurdepääsu säilitamisele ohustatud keskkondadele.
Tähelepanu äratamise vältimiseks tugineb pahavara DLL-i külglaadimise tehnikatele, kuritarvitades Microsofti seaduslikku lõpp-punkti turbe utiliiti MpExtMs.exe, et sulanduda tavapärase süsteemitegevusse.
ClickFixi edastuskampaaniate areng
ModeloRAT pälvis esmakordselt tähelepanu 2026. aasta jaanuaris ClickFixi kampaania variandi CrashFixi uurimise käigus. Selle operatsiooni käigus levitasid KongTuke'i tegutsejad pahatahtlikku Google Chrome'i laiendust, mis oli maskeeritud reklaamiblokeerijaks. Laiendus krahhis tahtlikult ohvrite brauserid ja seejärel pettis neid turvaskannimise ettekäändel pahatahtlikke käske täitma.
Teine ClickFixi kampaania kasutas teistsugust lähenemisviisi, käskides ohvritel käivitada käske, mis tegid domeeninimesüsteemi (DNS) otsingu. Seejärel kasutati DNS-päringut järgmise etapi sisuliseks teabeallikaks, muutes DNS-i ründajate jaoks kergeks testimis- ja signaalimismehhanismiks.
2026. aasta juunis tõstsid teadlased esile ka ClickFixi kasutamist Mistici edastusmehhanismina, omistades tegevuse lunavaraga seotud ohutegelasele, kes üritas saada esialgu jalgealust ja hõlbustada võrkudevahelist liikumist.
Võimed, mis muudavad Mistici väga ohtlikuks
Tagauks pakub laia valikut funktsioone, mida tavaliselt seostatakse täiustatud kaugjuurdepääsu pahavaraga, sealhulgas:
Failide üles- ja allalaadimine, kaustade loomine ning failide teisaldamine, ümbernimetamine või kustutamine.
Pahatahtliku koodi käivitamine otse mälus, majakaobjektifailide laadimine funktsionaalsuse laiendamiseks, käskude küsitlusintervallide muutmine ning enda lõpetamine ja kustutamine tõendite kõrvaldamiseks.
Oportunistlik sihtimine ja lunavaraühendused
Kampaania näib järgivat oportunistlikku mudelit, mitte ei keskendu ühele tööstusharule. Ründajad väidetavalt ohustavad laia valikut organisatsioone ja hindavad seejärel, millised ohvrid võiksid pakkuda kasumlikke juurdepääsuvõimalusi teistele küberkurjategijatele müümiseks.
Teadlased on täheldanud ModeloRATi ka rünnakutes, mis lõpuks viisid Qilini lunavara juurutamiseni, tugevdades seost esialgsete juurdepääsu vahendajate ja lunavara operaatorite vahel.
KongTuke’i laienev sotsiaalse inseneritöö tehnikate arsenal
KongTuke haldab keerukat liikluse jaotussüsteemi (TDS), mis on üles ehitatud ohustatud WordPressi veebisaitidele. Seda infrastruktuuri kasutatakse pidevalt muutuvate meelitamiste esitamiseks, mis suunavad pahaaimamatud külastajad pahavara edastusahelatesse.
Hiljuti teatasid turvafirmad Rapid7 ja ReliaQuest, et ründetegija on oma taktikat muutnud, saates petturlikelt IT-toe kontodelt Microsoft Teamsi sõnumeid. Need sõnumid käivitavad rünnakuahela, mis kulmineerub ModeloRATi juurutamisega.
Kasvav trend kohandatud pahavara arendamisel
Mistici keerukus ja Woodgnati oletatav osalemine ModeloRATi väljatöötamises viitavad kõrgelt kvalifitseeritud rühmale, mis on spetsialiseerunud varjatud kaugjuurdepääsu tööriistadele. Backdoor.Mistici esiletõus peegeldab ka laiemat tööstusharu suundumust, kus lunavaraoperatsioonid tuginevad üha enam kohandatud pahavarale, väljafiltreerimise utiliitidele ja spetsiaalsetele juurdepääsu tööriistadele.
Praegused tõendid viitavad sellele, et Mistic on tõenäoliselt ligipääsu vahendajate ja lunavara sidusettevõtete koostöö tulemus, mitte aga lunavara rühmituse enda loodud tööriist.
