Porta sul retro mistica
Una sofisticata backdoor nota come Mistic, anche tracciata come MLTBackdoor, è emersa in una serie di attacchi informatici, presumibilmente a scopo di lucro, attivi dall'aprile 2026. Il malware è stato rilevato in attacchi contro organizzazioni operanti nei settori assicurativo, dell'istruzione, dell'informatica e dei servizi professionali.
I ricercatori di sicurezza hanno collegato l'operazione al broker di accesso iniziale (IAB) KongTuke, noto anche con diversi alias, tra cui 404 TDS, Chaya_002, LandUpdate808, TAG-124 e Woodgnat. Durante queste intrusioni, Mistic è stato distribuito insieme a ModeloRAT, un trojan di accesso remoto basato su Python precedentemente attribuito allo stesso gruppo di hacker.
Sommario
Progettato per la discrezione e l’accesso a lungo termine
Mistic si distingue per la sua capacità di operare interamente in memoria senza scrivere file su disco, riducendo significativamente le probabilità di rilevamento. Il malware incorpora anche un kill switch integrato che gli consente di autoeliminarsi quando necessario. Queste caratteristiche suggeriscono che gli operatori siano concentrati sul mantenimento di un accesso persistente e occulto agli ambienti compromessi.
Per non destare sospetti, il malware si affida a tecniche di side-loading di DLL, sfruttando l'utility di sicurezza endpoint legittima di Microsoft, MpExtMs.exe, per mimetizzarsi nella normale attività di sistema.
L’evoluzione delle campagne di consegna di ClickFix
ModeloRAT ha attirato l'attenzione per la prima volta nel gennaio 2026 durante le indagini su una variante della campagna ClickFix nota come CrashFix. In questa operazione, gli attori di KongTuke distribuivano un'estensione dannosa per Google Chrome camuffata da blocco degli annunci. L'estensione mandava intenzionalmente in crash i browser delle vittime e poi le induceva a eseguire comandi dannosi con il pretesto di effettuare una scansione di sicurezza.
Un'altra campagna di ClickFix ha utilizzato un approccio diverso, istruendo le vittime a eseguire comandi che effettuavano una ricerca DNS (Domain Name System). La richiesta DNS veniva poi utilizzata per recuperare il payload della fase successiva, trasformando di fatto il DNS in un meccanismo di staging e segnalazione leggero per gli aggressori.
Nel giugno 2026, i ricercatori hanno inoltre evidenziato l'utilizzo di ClickFix come meccanismo di distribuzione per Mistic, attribuendo l'attività a un gruppo di hacker associato al ransomware che tentava di ottenere un punto d'appoggio iniziale e di facilitare la diffusione laterale attraverso le reti.
Capacità che rendono Mistic estremamente pericoloso
La backdoor offre un'ampia gamma di funzioni comunemente associate ai malware avanzati per l'accesso remoto, tra cui:
Caricamento e download di file, creazione di cartelle, spostamento, ridenominazione o eliminazione di file.
Eseguire codice dannoso direttamente in memoria, caricare file oggetto Beacon per estendere le funzionalità, modificare gli intervalli di polling dei comandi e terminare ed eliminare se stesso per cancellare le prove.
Attacchi opportunistici e connessioni con i ransomware
La campagna sembra seguire un modello opportunistico piuttosto che concentrarsi su un singolo settore. Secondo quanto riportato, gli aggressori compromettono un'ampia gamma di organizzazioni per poi valutare quali vittime potrebbero offrire opportunità di accesso redditizie da vendere ad altri criminali informatici.
I ricercatori hanno inoltre osservato ModeloRAT in attacchi che hanno portato alla diffusione del ransomware Qilin, rafforzando il legame tra i broker di accesso iniziali e gli operatori di ransomware.
L’arsenale in espansione di tecniche di ingegneria sociale di KongTuke
KongTuke gestisce un sofisticato sistema di distribuzione del traffico (TDS) basato su siti web WordPress compromessi. Questa infrastruttura viene utilizzata per presentare esche in continua evoluzione che reindirizzano i visitatori ignari verso catene di distribuzione di malware.
Più recentemente, le società di sicurezza Rapid7 e ReliaQuest hanno segnalato che l'attore della minaccia ha cambiato tattica, inviando messaggi su Microsoft Teams da account fraudolenti di "Assistenza IT". Questi messaggi innescano una catena di attacchi che culmina con l'installazione di ModeloRAT.
Una tendenza in crescita nello sviluppo di malware personalizzati
La sofisticatezza di Mistic e il presunto coinvolgimento di Woodgnat nello sviluppo di ModeloRAT indicano un gruppo altamente qualificato specializzato in strumenti di accesso remoto furtivi. L'emergere di Backdoor.Mistic riflette inoltre una tendenza più ampia del settore, in cui le operazioni ransomware si basano sempre più su malware personalizzati, utility di esfiltrazione e strumenti di accesso specializzati.
Le prove attuali suggeriscono che Mistic sia probabilmente il prodotto di intermediari di accesso che collaborano con affiliati di gruppi ransomware, piuttosto che uno strumento sviluppato direttamente da un gruppo ransomware.
