다중 라이센스 할인 견적
위협 데이터베이스 백도어 미스틱 백도어

미스틱 백도어

백도어년에 Mezo 년까지
번역 :

Mistic(MLTBackdoor로도 추적됨)이라는 정교한 백도어가 2026년 4월부터 활동해 온 금전적 이득을 노린 것으로 의심되는 사이버 공격의 일환으로 발견되었습니다. 이 악성 소프트웨어는 보험, 교육, 정보 기술 및 전문 서비스 분야의 조직을 대상으로 한 공격에서 탐지되었습니다.

보안 연구원들은 이 공격이 KongTuke라는 초기 접근 브로커(IAB)와 연관되어 있다고 밝혔으며, KongTuke는 404 TDS, Chaya_002, LandUpdate808, TAG-124, Woodgnat 등 여러 별칭으로도 알려져 있습니다. 이러한 침입 과정에서 Mistic은 이전에 동일한 공격자의 소행으로 추정되었던 파이썬 기반 원격 접근 트로이목마인 ModeloRAT과 함께 배포되었습니다.

은밀성과 장기 접근을 위해 설계되었습니다.

Mistic은 디스크에 파일을 기록하지 않고 메모리에서만 작동할 수 있다는 점에서 두드러지며, 이는 탐지 가능성을 크게 낮춥니다. 또한, 이 악성코드는 필요시 스스로를 삭제할 수 있는 킬 스위치를 내장하고 있습니다. 이러한 특징들은 공격자들이 침해된 환경에 지속적이고 은밀하게 접근하는 데 집중하고 있음을 시사합니다.

악성 프로그램은 눈에 띄지 않도록 DLL 사이드 로딩 기술을 사용하며, 마이크로소프트의 정식 엔드포인트 보안 유틸리티인 MpExtMs.exe를 악용하여 정상적인 시스템 활동에 위장합니다.

클릭픽스 배송 캠페인의 진화

ModeloRAT은 2026년 1월, CrashFix라는 ClickFix 캠페인 변종에 대한 조사 과정에서 처음 주목을 받았습니다. 이 공격에서 KongTuke 해커들은 광고 차단기로 위장한 악성 Google Chrome 확장 프로그램을 배포했습니다. 이 확장 프로그램은 피해자의 브라우저를 의도적으로 다운시킨 후, 보안 검사를 수행하는 것처럼 속여 악성 명령을 실행하도록 유도했습니다.

또 다른 ClickFix 공격 캠페인은 피해자에게 도메인 이름 시스템(DNS) 조회를 수행하는 명령어를 실행하도록 유도하는 다른 접근 방식을 사용했습니다. 그런 다음 DNS 요청을 사용하여 다음 단계의 페이로드를 검색함으로써 DNS를 공격자에게 간편한 준비 및 신호 전달 메커니즘으로 활용했습니다.

2026년 6월, 연구원들은 Mistic의 전달 메커니즘으로 ClickFix가 사용된 점을 지적하며, 이러한 활동이 랜섬웨어 관련 위협 행위자가 초기 발판을 마련하고 네트워크 전반에 걸쳐 횡적 이동을 용이하게 하려는 시도라고 분석했습니다.

미스틱을 매우 위험하게 만드는 능력

이 백도어는 고급 원격 접속 악성코드에서 흔히 볼 수 있는 다양한 기능을 제공합니다. 여기에는 다음이 포함됩니다.

파일 업로드 및 다운로드, 폴더 생성, 파일 이동, 이름 변경 또는 삭제.
메모리에서 악성 코드를 직접 실행하고, 비콘 객체 파일을 로드하여 기능을 확장하고, 명령 폴링 간격을 수정하고, 증거를 없애기 위해 자체적으로 종료 및 삭제합니다.

기회주의적 타겟팅과 랜섬웨어 연관성

이번 공격 캠페인은 특정 산업에 집중하기보다는 기회주의적인 모델을 따르는 것으로 보입니다. 공격자들은 광범위한 조직을 침해한 후, 어떤 피해자가 다른 사이버 범죄자들에게 판매할 만한 수익성 있는 접근 권한을 제공할 수 있을지 평가하는 것으로 알려져 있습니다.

연구원들은 또한 ModeloRAT이 궁극적으로 Qilin 랜섬웨어 배포로 이어지는 공격에 사용되는 것을 관찰했으며, 이는 초기 접근 브로커와 랜섬웨어 운영자 간의 연관성을 더욱 강화합니다.

KongTuke의 확장되는 사회공학적 기법 무기고

KongTuke는 해킹된 WordPress 웹사이트를 기반으로 구축된 정교한 트래픽 분산 시스템(TDS)을 운영합니다. 이 인프라는 지속적으로 변화하는 미끼를 사용하여 의심하지 않는 방문자를 악성코드 유포망으로 유도합니다.

최근 보안 회사인 Rapid7과 ReliaQuest는 공격자가 'IT 지원' 계정을 사칭하여 Microsoft Teams 메시지를 보내는 방식으로 전술을 바꿨다고 보고했습니다. 이러한 메시지는 ModeloRAT 배포로 이어지는 공격 연쇄를 시작합니다.

맞춤형 악성 소프트웨어 개발의 성장 추세

Mistic의 정교한 특징과 Woodgnat이 ModeloRAT 개발에 관여했을 가능성이 제기되는 점은 은밀한 원격 접속 도구에 특화된 고도로 숙련된 집단의 존재를 시사합니다. Backdoor.Mistic의 등장은 랜섬웨어 공격이 맞춤형 악성코드, 데이터 유출 유틸리티, 특수 접속 도구에 점점 더 의존하는 업계 전반의 추세를 반영합니다.

현재까지의 증거에 따르면 Mistic은 랜섬웨어 그룹이 직접 개발한 도구라기보다는 액세스 브로커가 랜섬웨어 계열사와 협력하여 만든 것일 가능성이 높습니다.

관련 게시물

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
24,122
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
21,791
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...