Misztikus hátsó ajtó
Egy kifinomult hátsó ajtó, a Mistic, más néven MLTBackdoor, bukkant fel a 2026 áprilisa óta aktív, gyaníthatóan pénzügyi indíttatású kibertámadások hullámában. A rosszindulatú programot a biztosítási, oktatási, informatikai és szakmai szolgáltatási szektorban működő szervezetek elleni támadásokban észlelték.
Biztonsági kutatók a műveletet a KongTuke kezdeti hozzáférési brókerhez (IAB) kötötték, amely számos álnéven is ismert, többek között a 404 TDS, Chaya_002, LandUpdate808, TAG-124 és Woodgnat. E behatolások során a Mistic-et a ModeloRAT mellett telepítették, amely egy Python-alapú távoli hozzáférést biztosító trójai, amelyet korábban ugyanennek a fenyegetésnek tulajdonítottak.
Tartalomjegyzék
Lopakodó és hosszú távú hozzáférésre tervezve
A Mistic azzal tűnik ki, hogy teljes egészében a memóriában képes működni anélkül, hogy fájlokat írna lemezre, ami jelentősen csökkenti az észlelés esélyét. A rosszindulatú program beépített kill switch funkcióval is rendelkezik, amely lehetővé teszi, hogy szükség esetén törölje magát. Ezek a jellemzők arra utalnak, hogy a kezelők a feltört környezetekhez való állandó és titkos hozzáférés fenntartására összpontosítanak.
A figyelemfelkeltés elkerülése érdekében a rosszindulatú program DLL-oldalbetöltési technikákra támaszkodik, a Microsoft legitim végpontbiztonsági segédprogramját, az MpExtMs.exe-t kihasználva beolvad a normál rendszertevékenységbe.
A ClickFix kézbesítési kampányok fejlődése
A ModeloRAT először 2026 januárjában keltett figyelmet a CrashFix néven ismert ClickFix kampányváltozat nyomozása során. A művelet során a KongTuke szereplői egy rosszindulatú Google Chrome-bővítményt terjesztettek, amelyet hirdetésblokkolónak álcáztak. A bővítmény szándékosan leállította az áldozatok böngészőjét, majd rávette őket, hogy rosszindulatú parancsokat hajtsanak végre egy biztonsági vizsgálat ürügyén.
Egy másik ClickFix kampány más megközelítést alkalmazott, amelyben az áldozatokat olyan parancsok végrehajtására utasította, amelyek DNS-keresést végeztek. A DNS-kérést ezután felhasználták a következő szintű hasznos adat lekérésére, így a DNS-t gyakorlatilag egy könnyűsúlyú átmeneti és jelző mechanizmussá alakították a támadók számára.
2026 júniusában a kutatók kiemelték a ClickFix használatát a Mistic kézbesítési mechanizmusaként, a tevékenységet egy zsarolóvírusokhoz kapcsolódó fenyegetésnek tulajdonítva, amely megpróbál kezdeti megvetését és a hálózatok közötti oldalirányú mozgást elősegíteni.
A Mistic rendkívül veszélyes képességei
A hátsó ajtó a fejlett távoli hozzáférést biztosító kártevőkkel gyakran összefüggő funkciók széles skáláját kínálja, beleértve:
Fájlok feltöltése és letöltése, mappák létrehozása, valamint fájlok áthelyezése, átnevezése vagy törlése.
Kártékony kód közvetlenül a memóriában történő végrehajtása, Beacon Object Files betöltése a funkcionalitás kibővítése érdekében, parancs lekérdezési intervallumok módosítása, valamint saját maga leállítása és törlése a bizonyítékok kiküszöbölése érdekében.
Opportunista célzás és zsarolóvírus-kapcsolatok
A kampány látszólag egy opportunista modellt követ, ahelyett, hogy egyetlen iparágra összpontosítana. A támadók állítólag számos szervezetet veszélyeztetnek, majd felmérik, hogy mely áldozatok tudnának jövedelmező hozzáférési lehetőségeket kínálni más kiberbűnözőknek.
A kutatók a ModeloRAT jelenlétét olyan támadásokban is megfigyelték, amelyek végül a Qilin zsarolóvírus telepítéséhez vezettek, megerősítve a kapcsolatot a kezdeti hozzáférést biztosító brókerek és a zsarolóvírus-üzemeltetők között.
A KongTuke bővülő társadalmi manipulációs technikáinak arzenálja
A KongTuke egy kifinomult forgalomelosztó rendszert (TDS) üzemeltet, amely feltört WordPress webhelyekre épül. Ezt az infrastruktúrát folyamatosan változó csalik megjelenítésére használják, amelyek a gyanútlan látogatókat a rosszindulatú programok kézbesítési láncai felé irányítják.
A Rapid7 és a ReliaQuest biztonsági cégek a közelmúltban arról számoltak be, hogy a kiberbűnöző taktikát váltott, és csalárd „IT-támogatási” fiókokból küldött Microsoft Teams üzeneteket. Ezek az üzenetek egy támadási láncot indítanak el, amely a ModeloRAT telepítésével csúcsosodik ki.
Egyre növekvő trend az egyedi kártevők fejlesztésében
A Mistic kifinomultsága és a Woodgnat feltételezett szerepvállalása a ModeloRAT fejlesztésében egy magasan képzett csoportra utal, amely a lopakodó távoli hozzáférési eszközökre specializálódott. A Backdoor.Mistic megjelenése egy szélesebb körű iparági trendet is tükröz, amelyben a zsarolóvírus-műveletek egyre inkább egyedi fejlesztésű rosszindulatú programokra, kiszűrési segédprogramokra és speciális hozzáférési eszközökre támaszkodnak.
A jelenlegi bizonyítékok arra utalnak, hogy a Mistic valószínűleg hozzáférés-közvetítők és zsarolóvírus-partnerek együttműködésének eredménye, nem pedig egy közvetlenül egy zsarolóvírus-csoport által fejlesztett eszköz.
