Mistic Backdoor

דלת אחורית מתוחכמת המכונה Mistic, המזוהה גם כ-MLTBackdoor, צצה בגל של מתקפות סייבר חשודות ממניעים כלכליים, הפעילות מאז אפריל 2026. הנוזקה זוהתה במתקפות נגד ארגונים הפועלים במגזרי הביטוח, החינוך, טכנולוגיית המידע והשירותים המקצועיים.

חוקרי אבטחה קישרו את הפעולה למתווך הגישה הראשוני (IAB) KongTuke, הידוע גם במספר שמות בדויים, כולל 404 TDS, Chaya_002, LandUpdate808, TAG-124 ו-Woodgnat. במהלך חדירות אלו, Mistic נפרס לצד ModeloRAT, סוס טרויאני לגישה מרחוק מבוסס פייתון שיוחס בעבר לאותו גורם איום.

מיועד לגישה חשאית וארוכת טווח

Mistic בולטת בזכות יכולתה לפעול כולה בזיכרון מבלי לכתוב קבצים לדיסק, מה שמפחית משמעותית את סיכויי הגילוי. הנוזקה משלבת גם מתג כיבוי מובנה המאפשר לה למחוק את עצמה בעת הצורך. מאפיינים אלה מצביעים על כך שהמפעילים מתמקדים בשמירה על גישה מתמשכת וסמויה לסביבות פגועות.

כדי להימנע מתשומת לב, התוכנה הזדונית מסתמכת על טכניקות טעינה צדדית של DLL, ומנצלת לרעה את כלי אבטחת נקודות הקצה הלגיטימי של מיקרוסופט, MpExtMs.exe, כדי להשתלב בפעילות המערכת הרגילה.

האבולוציה של קמפיינים של משלוחי ClickFix

ModeloRAT משכה לראשונה תשומת לב בינואר 2026 במהלך חקירות של גרסה של קמפיין ClickFix המכונה CrashFix. במבצע זה, גורמים ב-KongTuke הפיצו תוסף זדוני של גוגל כרום במסווה של חוסם פרסומות. התוסף ריסק במכוון את דפדפני הקורבנות ולאחר מכן רימה אותם לבצע פקודות זדוניות במסווה של ביצוע סריקת אבטחה.

קמפיין ClickFix נוסף השתמש בגישה שונה על ידי הנחיית קורבנות לבצע פקודות שביצעו חיפוש DNS (מערכת שמות מתחם). לאחר מכן, בקשת ה-DNS שימשה לאחזור המטען של השלב הבא, ובכך הפכה למעשה את ה-DNS למנגנון קל משקל לניהול פעולות ואיתות עבור התוקפים.

ביוני 2026, חוקרים הדגישו גם את השימוש ב-ClickFix כמנגנון אספקה עבור Mistic, וייחסו את הפעילות לגורם איום הקשור לתוכנות כופר שמנסה להשיג דריסת רגל ראשונית ולהקל על תנועה רוחבית בין רשתות.

יכולות שהופכות את מיסטיק למסוכן ביותר

הדלת האחורית מציעה מגוון רחב של פונקציות הקשורות בדרך כלל לתוכנות זדוניות מתקדמות לגישה מרחוק, כולל:

העלאה והורדה של קבצים, יצירת תיקיות והעברה, שינוי שם או מחיקה של קבצים.
ביצוע קוד זדוני ישירות בזיכרון, טעינת קבצי אובייקט Beacon כדי להרחיב פונקציונליות, שינוי מרווחי תשאול פקודות, וסיום ומחיקה של עצמו כדי לחסל ראיות.

מיקוד אופורטוניסטי וקשרים של תוכנות כופר

נראה כי הקמפיין עוקב אחר מודל אופורטוניסטי במקום להתמקד בתעשייה אחת. על פי הדיווחים, תוקפים פורצים למגוון רחב של ארגונים ולאחר מכן מעריכים אילו קורבנות יכולים לספק הזדמנויות גישה רווחיות למכירה לפושעי סייבר אחרים.

חוקרים גם צפו ב-ModeloRAT בהתקפות שבסופו של דבר הביאו לפריסה של תוכנת הכופר Qilin, מה שחיזק את הקשר בין מתווכי גישה ראשוניים למפעילי תוכנות הכופר.

ארסנל טכניקות ההנדסה החברתית המתרחב של KongTuke

KongTuke מפעילה מערכת חלוקת תנועה (TDS) מתוחכמת הבנויה על אתרי וורדפרס שנפרצו. תשתית זו משמשת להצגת פיתיונות משתנים ללא הרף, אשר מפנים מבקרים תמימים לרשתות העברת תוכנות זדוניות.

לאחרונה, חברות האבטחה Rapid7 ו-ReliaQuest דיווחו כי גורם האיום שינה טקטיקה על ידי שליחת הודעות ל-Microsoft Teams מחשבונות 'תמיכה ב-IT' הונאה. הודעות אלו יוזמות שרשרת תקיפה שמגיעה לשיאה בפריסת ModeloRAT.

מגמה גוברת בפיתוח תוכנות זדוניות מותאמות אישית

התחכום של Mistic והמעורבות החשודה של Woodgnat בפיתוח ModeloRAT מצביעים על קבוצה מיומנת ביותר המתמחה בכלי גישה מרחוק חשאיים. הופעתה של Backdoor.Mistic משקפת גם מגמה רחבה יותר בתעשייה שבה פעולות כופר מסתמכות יותר ויותר על תוכנות זדוניות מותאמות אישית, כלי חילוץ וכלי גישה ייעודיים.

ראיות עדכניות מצביעות על כך ש-Mistic הוא ככל הנראה תוצר של מתווכי גישה ששיתפו פעולה עם חברות כופר, ולא כלי שפותח ישירות על ידי קבוצת כופר עצמה.