Mistic पिछला दरवाजा

मिस्टिक नामक एक परिष्कृत बैकडोर, जिसे एमएलटीबैकडोर के रूप में भी ट्रैक किया जाता है, अप्रैल 2026 से सक्रिय संदिग्ध वित्तीय रूप से प्रेरित साइबर हमलों की लहर में सामने आया है। यह मैलवेयर बीमा, शिक्षा, सूचना प्रौद्योगिकी और पेशेवर सेवा क्षेत्रों में कार्यरत संगठनों के खिलाफ हमलों में पाया गया है।

सुरक्षा शोधकर्ताओं ने इस ऑपरेशन को इनिशियल एक्सेस ब्रोकर (आईएबी) कोंगटुक से जोड़ा है, जिसे 404 टीडीएस, चाया_002, लैंडअपडेट808, टैग-124 और वुडग्नेट जैसे कई उपनामों से भी जाना जाता है। इन घुसपैठों के दौरान, मिस्टिक को मॉडलरैट के साथ तैनात किया गया था, जो एक पायथन-आधारित रिमोट एक्सेस ट्रोजन है और जिसे पहले इसी हमलावर समूह से जोड़ा गया था।

गुप्त रूप से और लंबे समय तक पहुंच बनाए रखने के लिए डिज़ाइन किया गया

मिस्टिक अपनी इस क्षमता के कारण अलग दिखता है कि यह डिस्क पर फाइलें लिखे बिना पूरी तरह से मेमोरी में काम करता है, जिससे इसके पकड़े जाने की संभावना काफी कम हो जाती है। इस मैलवेयर में एक बिल्ट-इन किल स्विच भी है जो इसे जरूरत पड़ने पर खुद को मिटाने की अनुमति देता है। ये विशेषताएं बताती हैं कि ऑपरेटर असुरक्षित वातावरणों तक लगातार और गुप्त रूप से पहुंच बनाए रखने पर ध्यान केंद्रित कर रहे हैं।

ध्यान आकर्षित करने से बचने के लिए, मैलवेयर डीएलएल साइड-लोडिंग तकनीकों पर निर्भर करता है, और सामान्य सिस्टम गतिविधि में घुलमिल जाने के लिए माइक्रोसॉफ्ट की वैध एंडपॉइंट सुरक्षा उपयोगिता MpExtMs.exe का दुरुपयोग करता है।

क्लिकफिक्स डिलीवरी कैंपेन का विकास

ModeloRAT पहली बार जनवरी 2026 में ClickFix अभियान के एक प्रकार, जिसे CrashFix के नाम से जाना जाता है, की जांच के दौरान चर्चा में आया। इस ऑपरेशन में, KongTuke के सदस्यों ने एक विज्ञापन अवरोधक के रूप में एक दुर्भावनापूर्ण Google Chrome एक्सटेंशन वितरित किया। इस एक्सटेंशन ने जानबूझकर पीड़ितों के ब्राउज़र को क्रैश कर दिया और फिर उन्हें सुरक्षा स्कैन करने के बहाने दुर्भावनापूर्ण कमांड निष्पादित करने के लिए धोखा दिया।

क्लिकफिक्स के एक अन्य अभियान में एक अलग तरीका अपनाया गया, जिसमें पीड़ितों को डोमेन नेम सिस्टम (डीएनएस) लुकअप करने वाले कमांड निष्पादित करने का निर्देश दिया गया। इसके बाद, डीएनएस अनुरोध का उपयोग अगले चरण के पेलोड को प्राप्त करने के लिए किया गया, जिससे डीएनएस हमलावरों के लिए एक हल्के स्टेजिंग और सिग्नलिंग तंत्र में बदल गया।

जून 2026 में, शोधकर्ताओं ने मिस्टिक के लिए एक वितरण तंत्र के रूप में क्लिकफिक्स के उपयोग पर भी प्रकाश डाला, और इस गतिविधि को रैंसमवेयर से जुड़े एक खतरे वाले अभिनेता से जोड़ा जो प्रारंभिक पैठ बनाने और नेटवर्क में पार्श्व गति को सुविधाजनक बनाने का प्रयास कर रहा था।

मिस्टिक को बेहद खतरनाक बनाने वाली क्षमताएं

इस बैकडोर में उन्नत रिमोट एक्सेस मैलवेयर से जुड़े कई तरह के फंक्शन मौजूद हैं, जिनमें शामिल हैं:

फाइलों को अपलोड और डाउनलोड करना, फोल्डर बनाना और फाइलों को स्थानांतरित करना, नाम बदलना या हटाना।
दुर्भावनापूर्ण कोड को सीधे मेमोरी में निष्पादित करना, कार्यक्षमता बढ़ाने के लिए बीकन ऑब्जेक्ट फ़ाइलों को लोड करना, कमांड पोलिंग अंतराल को संशोधित करना और सबूत मिटाने के लिए खुद को समाप्त करना और हटाना।

अवसरवादी लक्ष्यीकरण और रैंसमवेयर कनेक्शन

यह अभियान किसी एक उद्योग पर ध्यान केंद्रित करने के बजाय अवसरवादी मॉडल का अनुसरण करता प्रतीत होता है। हमलावर कथित तौर पर विभिन्न संगठनों को निशाना बना रहे हैं और फिर यह मूल्यांकन कर रहे हैं कि किन पीड़ितों से अन्य साइबर अपराधियों को लाभप्रद पहुंच के अवसर मिल सकते हैं।

शोधकर्ताओं ने उन हमलों में भी ModeloRAT को देखा है जिनके परिणामस्वरूप अंततः Qilin रैंसमवेयर की तैनाती हुई, जिससे प्रारंभिक एक्सेस ब्रोकरों और रैंसमवेयर ऑपरेटरों के बीच संबंध मजबूत होता है।

कोंगटुक की सोशल इंजीनियरिंग तकनीकों का बढ़ता हुआ शस्त्रागार

कोंगटुक एक परिष्कृत ट्रैफ़िक वितरण प्रणाली (टीडीएस) संचालित करता है जो हैक की गई वर्डप्रेस वेबसाइटों पर आधारित है। इस बुनियादी ढांचे का उपयोग लगातार बदलते प्रलोभन प्रस्तुत करने के लिए किया जाता है जो अनजान आगंतुकों को मैलवेयर वितरण श्रृंखलाओं की ओर पुनर्निर्देशित करते हैं।

हाल ही में, सुरक्षा कंपनियों रैपिड7 और रेलियाक्वेस्ट ने बताया कि हमलावर ने फर्जी 'आईटी सपोर्ट' खातों से माइक्रोसॉफ्ट टीम्स संदेश भेजकर अपनी रणनीति बदल दी है। ये संदेश एक हमले की श्रृंखला शुरू करते हैं जो अंततः मॉडलरैट के प्रसार में परिणत होती है।

कस्टम मैलवेयर डेवलपमेंट में बढ़ता रुझान

मिस्टिक की परिष्कृत तकनीक और मॉडलरैट के विकास में वुडग्नेट की संदिग्ध संलिप्तता एक ऐसे कुशल समूह की ओर इशारा करती है जो गुप्त रिमोट एक्सेस टूल्स में विशेषज्ञता रखता है। बैकडोर.मिस्टिक का उदय एक व्यापक उद्योग प्रवृत्ति को भी दर्शाता है जिसमें रैंसमवेयर ऑपरेशन तेजी से कस्टम-निर्मित मैलवेयर, डेटा एक्सफ़िल्ट्रेशन यूटिलिटीज़ और विशेष एक्सेस टूल्स पर निर्भर होते जा रहे हैं।

मौजूदा साक्ष्य बताते हैं कि मिस्टिक संभवतः रैंसमवेयर समूहों द्वारा सीधे विकसित किया गया उपकरण नहीं है, बल्कि यह एक्सेस ब्रोकरों और रैंसमवेयर सहयोगियों के सहयोग से बनाया गया उत्पाद है।