درِ پشتیِ میستیک

یک درب پشتی پیچیده به نام Mistic که با نام MLTBackdoor نیز ردیابی می‌شود، در موجی از حملات سایبری مشکوک با انگیزه مالی که از آوریل ۲۰۲۶ فعال بوده‌اند، ظاهر شده است. این بدافزار در حملات علیه سازمان‌هایی که در بخش‌های بیمه، آموزش، فناوری اطلاعات و خدمات حرفه‌ای فعالیت می‌کنند، شناسایی شده است.

محققان امنیتی این عملیات را به کارگزار دسترسی اولیه (IAB) KongTuke مرتبط دانسته‌اند که با نام‌های مستعار مختلفی از جمله 404 TDS، Chaya_002، LandUpdate808، TAG-124 و Woodgnat نیز شناخته می‌شود. در طول این نفوذها، Mistic در کنار ModeloRAT، یک تروجان دسترسی از راه دور مبتنی بر پایتون که قبلاً به همین عامل تهدید نسبت داده شده بود، مستقر شده است.

طراحی شده برای دسترسی مخفی و طولانی مدت

Mistic به دلیل توانایی‌اش در فعالیت کامل در حافظه بدون نوشتن فایل روی دیسک، برجسته است که احتمال شناسایی را به میزان قابل توجهی کاهش می‌دهد. این بدافزار همچنین دارای یک کلید kill داخلی است که به آن اجازه می‌دهد در صورت لزوم خود را پاک کند. این ویژگی‌ها نشان می‌دهد که اپراتورها بر حفظ دسترسی مداوم و پنهانی به محیط‌های آسیب‌دیده متمرکز هستند.

برای جلوگیری از جلب توجه، این بدافزار به تکنیک‌های بارگذاری جانبی DLL متکی است و از ابزار امنیتی قانونی نقطه پایانی مایکروسافت، MpExtMs.exe، برای ادغام در فعالیت‌های عادی سیستم سوءاستفاده می‌کند.

تکامل کمپین‌های تحویل کلیک‌فیکس

ModeloRAT اولین بار در ژانویه ۲۰۲۶ در جریان تحقیقات در مورد یک نوع کمپین ClickFix به نام CrashFix مورد توجه قرار گرفت. در این عملیات، عوامل KongTuke یک افزونه مخرب گوگل کروم را که به عنوان یک مسدودکننده تبلیغات پنهان شده بود، توزیع کردند. این افزونه عمداً مرورگرهای قربانیان را از کار می‌انداخت و سپس آنها را فریب می‌داد تا تحت پوشش انجام اسکن امنیتی، دستورات مخرب را اجرا کنند.

یکی دیگر از کمپین‌های ClickFix با آموزش قربانیان برای اجرای دستوراتی که جستجوی سیستم نام دامنه (DNS) را انجام می‌دادند، از رویکرد متفاوتی استفاده کرد. سپس از درخواست DNS برای بازیابی بار داده مرحله بعدی استفاده شد و DNS را به یک مکانیسم مرحله‌بندی و سیگنال‌دهی سبک برای مهاجمان تبدیل کرد.

در ژوئن ۲۰۲۶، محققان همچنین استفاده از ClickFix را به عنوان یک مکانیسم تحویل برای Mistic برجسته کردند و این فعالیت را به یک عامل تهدید مرتبط با باج‌افزار نسبت دادند که سعی در به دست آوردن جای پای اولیه و تسهیل حرکت جانبی در شبکه‌ها دارد.

قابلیت‌هایی که میستیک را بسیار خطرناک می‌کند

این درِ پشتی مجموعه گسترده‌ای از عملکردهایی را ارائه می‌دهد که معمولاً با بدافزارهای پیشرفته دسترسی از راه دور مرتبط هستند، از جمله:

آپلود و دانلود فایل‌ها، ایجاد پوشه‌ها و انتقال، تغییر نام یا حذف فایل‌ها.
اجرای مستقیم کد مخرب در حافظه، بارگذاری فایل‌های شیء Beacon برای گسترش عملکرد، تغییر فواصل نظرسنجی فرمان و خاتمه دادن و حذف خود برای از بین بردن شواهد.

هدف‌گیری فرصت‌طلبانه و ارتباطات باج‌افزاری

به نظر می‌رسد این کمپین به جای تمرکز بر یک صنعت واحد، از یک مدل فرصت‌طلبانه پیروی می‌کند. طبق گزارش‌ها، مهاجمان طیف وسیعی از سازمان‌ها را به خطر می‌اندازند و سپس ارزیابی می‌کنند که کدام قربانیان می‌توانند فرصت‌های دسترسی سودآوری را برای فروش به سایر مجرمان سایبری فراهم کنند.

محققان همچنین ModeloRAT را در حملاتی مشاهده کرده‌اند که در نهایت منجر به استقرار باج‌افزار Qilin شده و ارتباط بین کارگزاران دسترسی اولیه و اپراتورهای باج‌افزار را تقویت می‌کند.

گسترش زرادخانه تکنیک‌های مهندسی اجتماعی KongTuke

KongTuke یک سیستم توزیع ترافیک (TDS) پیچیده را اداره می‌کند که بر روی وب‌سایت‌های وردپرس آسیب‌پذیر ساخته شده است. این زیرساخت برای ارائه فریب‌های مداوم در حال تغییر استفاده می‌شود که بازدیدکنندگان ناآگاه را به سمت زنجیره‌های توزیع بدافزار هدایت می‌کند.

اخیراً، شرکت‌های امنیتی Rapid7 و ReliaQuest گزارش دادند که عامل تهدید با ارسال پیام‌های مایکروسافت تیمز از حساب‌های جعلی «پشتیبانی فناوری اطلاعات» تاکتیک‌های خود را تغییر داده است. این پیام‌ها یک زنجیره حمله را آغاز می‌کنند که در نهایت به استقرار ModeloRAT منجر می‌شود.

روند رو به رشد در توسعه بدافزارهای سفارشی

پیچیدگی Mistic و احتمال دخالت Woodgnat در توسعه ModeloRAT، به یک گروه بسیار ماهر و متخصص در ابزارهای دسترسی از راه دور مخفیانه اشاره دارد. ظهور Backdoor.Mistic همچنین نشان دهنده یک روند صنعتی گسترده‌تر است که در آن عملیات باج‌افزاری به طور فزاینده‌ای به بدافزارهای سفارشی، ابزارهای خروج اطلاعات و ابزارهای دسترسی تخصصی متکی است.

شواهد فعلی نشان می‌دهد که Mistic احتمالاً محصول همکاری دلالان دسترسی با شرکت‌های وابسته به باج‌افزار است، نه ابزاری که مستقیماً توسط خود یک گروه باج‌افزار توسعه داده شده باشد.