Mistični stražnji ulaz
Sofisticirani backdoor poznat kao Mistic, također praćen kao MLTBackdoor, pojavio se u valu sumnjivih financijski motiviranih kibernetičkih napada koji su aktivni od travnja 2026. Zlonamjerni softver otkriven je u napadima na organizacije koje posluju u sektorima osiguranja, obrazovanja, informacijske tehnologije i profesionalnih usluga.
Sigurnosni istraživači povezali su operaciju s početnim posrednikom pristupa (IAB) KongTukeom, poznatim i pod nekoliko pseudonima, uključujući 404 TDS, Chaya_002, LandUpdate808, TAG-124 i Woodgnat. Tijekom ovih upada, Mistic je raspoređen uz ModeloRAT, trojanca za udaljeni pristup temeljenog na Pythonu koji se prethodno pripisivao istom akteru prijetnje.
Sadržaj
Dizajnirano za prikrivenost i dugoročni pristup
Mistic se ističe zbog svoje sposobnosti rada u potpunosti u memoriji bez zapisivanja datoteka na disk, što značajno smanjuje šanse za otkrivanje. Zlonamjerni softver također uključuje ugrađenu opciju kill switch koja mu omogućuje samobrisanje kada je to potrebno. Ove karakteristike sugeriraju da su operateri usredotočeni na održavanje trajnog i tajnog pristupa kompromitiranim okruženjima.
Kako bi izbjegao privlačenje pažnje, zlonamjerni softver oslanja se na tehnike bočnog učitavanja DLL-ova, zloupotrebljavajući Microsoftov legitimni uslužni program za sigurnost krajnjih točaka MpExtMs.exe kako bi se stopio s normalnom aktivnošću sustava.
Evolucija ClickFix kampanja dostave
ModeloRAT je prvi put privukao pozornost u siječnju 2026. tijekom istrage varijante kampanje ClickFix poznate kao CrashFix. U ovoj operaciji, akteri KongTukea distribuirali su zlonamjerno proširenje za Google Chrome prikriveno kao blokator oglasa. Proširenje je namjerno rušilo preglednike žrtava, a zatim ih je prevarilo da izvrše zlonamjerne naredbe pod krinkom sigurnosnog skeniranja.
Druga ClickFix kampanja koristila je drugačiji pristup upućujući žrtve da izvršavaju naredbe koje su pretraživale DNS (Domain Name System). DNS zahtjev je zatim korišten za dohvaćanje sljedećeg sadržaja, učinkovito pretvarajući DNS u lagani mehanizam za pripremu i signalizaciju za napadače.
U lipnju 2026. istraživači su također istaknuli korištenje ClickFixa kao mehanizma isporuke za Mistic, pripisujući aktivnost akteru prijetnje povezanom s ransomwareom koji pokušava steći početno uporište i olakšati lateralno kretanje kroz mreže.
Sposobnosti koje čine Mistic vrlo opasnim
Stražnja vrata nude širok skup funkcija koje se obično povezuju s naprednim zlonamjernim softverom za udaljeni pristup, uključujući:
Prijenos i preuzimanje datoteka, stvaranje mapa te premještanje, preimenovanje ili brisanje datoteka.
Izvršavanje zlonamjernog koda izravno u memoriji, učitavanje Beacon Object Files radi proširenja funkcionalnosti, mijenjanje intervala ispitivanja naredbi te prekid i brisanje samog sebe radi uklanjanja dokaza.
Oportunističko ciljanje i veze s ransomwareom
Čini se da kampanja slijedi oportunistički model, a ne fokusira se na jednu industriju. Napadači navodno kompromitiraju širok raspon organizacija, a zatim procjenjuju koje bi žrtve mogle pružiti profitabilne mogućnosti pristupa za prodaju drugim kibernetičkim kriminalcima.
Istraživači su također primijetili ModeloRAT u napadima koji su na kraju rezultirali postavljanjem Qilin ransomwarea, pojačavajući vezu između početnih posrednika pristupa i operatera ransomwarea.
KongTukeov rastući arsenal tehnika društvenog inženjeringa
KongTuke upravlja sofisticiranim sustavom distribucije prometa (TDS) izgrađenim na kompromitiranim WordPress web stranicama. Ova infrastruktura se koristi za prikazivanje kontinuirano promjenjivih mamaca koji preusmjeravaju nesuđene posjetitelje prema lancima isporuke zlonamjernog softvera.
Nedavno su sigurnosne tvrtke Rapid7 i ReliaQuest izvijestile da je napadač promijenio taktiku slanjem poruka Microsoft Teamsu s lažnih računa za 'IT podršku'. Ove poruke pokreću lanac napada koji kulminira implementacijom ModeloRAT-a.
Rastući trend razvoja prilagođenog zlonamjernog softvera
Sofisticiranost Mistica i sumnja na Woodgnatovo sudjelovanje u razvoju ModeloRAT-a ukazuju na visokokvalificiranu skupinu specijaliziranu za prikrivene alate za daljinski pristup. Pojava Backdoor.Mistica također odražava širi trend u industriji u kojem se operacije ransomwarea sve više oslanjaju na prilagođeni zlonamjerni softver, uslužne programe za eksfiltraciju i specijalizirane alate za pristup.
Trenutni dokazi upućuju na to da je Mistic vjerojatno proizvod suradnje posrednika za pristup s povezanim osobama s ransomwareom, a ne alat koji je izravno razvila sama ransomware skupina.
