Mistiskā aizmugurējā durvis
Sarežģīta aizmugurējā durvju sistēma, kas pazīstama kā Mistic, ko var izsekot arī kā MLTBackdoor, ir parādījusies aizdomīgu finansiāli motivētu kiberuzbrukumu vilnī, kas ir aktīvs kopš 2026. gada aprīļa. Ļaunprogrammatūra ir atklāta uzbrukumos organizācijām, kas darbojas apdrošināšanas, izglītības, informācijas tehnoloģiju un profesionālo pakalpojumu nozarēs.
Drošības pētnieki ir saistījuši šo operāciju ar sākotnējās piekļuves brokeri (IAB) KongTuke, kas pazīstams arī ar vairākiem pseidonīmiem, tostarp 404 TDS, Chaya_002, LandUpdate808, TAG-124 un Woodgnat. Šo ielaušanās laikā Mistic tika izvietots līdzās ModeloRAT — Python balstītu attālās piekļuves Trojas zirgu, kas iepriekš tika piedēvēts tam pašam apdraudējuma spēlētājam.
Satura rādītājs
Paredzēts slepenai un ilgtermiņa piekļuvei
Mistic izceļas ar spēju darboties pilnībā atmiņā, nerakstot failus diskā, tādējādi ievērojami samazinot atklāšanas iespējas. Ļaunprogrammatūrai ir arī iebūvēts kill switch, kas ļauj tai nepieciešamības gadījumā sevi izdzēst. Šīs īpašības liecina, ka operatori koncentrējas uz pastāvīgas un slepenas piekļuves nodrošināšanu apdraudētām vidēm.
Lai nepiesaistītu uzmanību, ļaunprogrammatūra izmanto DLL sānu ielādes metodes, ļaunprātīgi izmantojot Microsoft likumīgo galapunktu drošības utilītu MpExtMs.exe, lai iekļautos parastajā sistēmas darbībā.
ClickFix piegādes kampaņu evolūcija
ModeloRAT pirmo reizi piesaistīja uzmanību 2026. gada janvārī, izmeklējot ClickFix kampaņas variantu, kas pazīstams kā CrashFix. Šajā operācijā KongTuke dalībnieki izplatīja ļaunprātīgu Google Chrome paplašinājumu, kas bija maskēts kā reklāmu bloķētājs. Paplašinājums apzināti izraisīja upuru pārlūkprogrammu avāriju un pēc tam maldināja viņus, lai tie izpildītu ļaunprātīgas komandas, aizbildinoties ar drošības skenēšanas veikšanu.
Citā ClickFix kampaņā tika izmantota atšķirīga pieeja, norādot upuriem izpildīt komandas, kas veica domēna vārdu sistēmas (DNS) meklēšanu. DNS pieprasījums pēc tam tika izmantots nākamā posma vērtuma izgūšanai, faktiski pārvēršot DNS par vieglu izstrādes un signalizācijas mehānismu uzbrucējiem.
2026. gada jūnijā pētnieki arī uzsvēra ClickFix izmantošanu kā Mistic piegādes mehānismu, piedēvējot šo darbību ar izspiedējvīrusu saistītam apdraudējuma izpildītājam, kurš mēģina iegūt sākotnēju ietekmi un veicināt sānu pārvietošanos tīklos.
Spējas, kas padara Mistic ļoti bīstamu
Aizmugurējās durvis piedāvā plašu funkciju klāstu, kas parasti tiek saistītas ar progresīvu attālās piekļuves ļaunprogrammatūru, tostarp:
Failu augšupielāde un lejupielāde, mapju izveide, kā arī failu pārvietošana, pārdēvēšana vai dzēšana.
Ļaunprātīga koda izpilde tieši atmiņā, Beacon Object Files ielāde funkcionalitātes paplašināšanai, komandu aptaujas intervālu modificēšana, kā arī sevis pārtraukšana un dzēšana, lai novērstu pierādījumus.
Oportūnistiska mērķauditorijas atlase un izspiedējvīrusu savienojumi
Šķiet, ka kampaņa seko oportūnistiskam modelim, nevis koncentrējas uz vienu nozari. Tiek ziņots, ka uzbrucēji apdraud plašu organizāciju loku un pēc tam izvērtē, kuri upuri varētu nodrošināt ienesīgas piekļuves iespējas pārdošanai citiem kibernoziedzniekiem.
Pētnieki ir novērojuši arī ModeloRAT uzbrukumos, kas galu galā noveda pie Qilin izspiedējvīrusa ieviešanas, pastiprinot saikni starp sākotnējiem piekļuves brokeriem un izspiedējvīrusa operatoriem.
KongTuke paplašinošais sociālās inženierijas metožu arsenāls
KongTuke pārvalda sarežģītu datplūsmas sadales sistēmu (TDS), kas izveidota uz kompromitētām WordPress tīmekļa vietnēm. Šī infrastruktūra tiek izmantota, lai nepārtraukti mainītu ēsmas avotus, kas novirza neko nenojaušošus apmeklētājus uz ļaunprogrammatūras piegādes ķēdēm.
Pavisam nesen drošības uzņēmumi Rapid7 un ReliaQuest ziņoja, ka apdraudējuma izraisītājs ir mainījis taktiku, sūtot Microsoft Teams ziņojumus no krāpnieciskiem “IT atbalsta” kontiem. Šie ziņojumi sāk uzbrukuma ķēdi, kas kulminē ar ModeloRAT izvietošanu.
Pieaugoša tendence pielāgotu ļaunprogrammatūru izstrādē
Mistic sarežģītība un iespējamā Woodgnat iesaistīšanās ModeloRAT izstrādē norāda uz augsti kvalificētu grupu, kas specializējas slepenu attālās piekļuves rīku izstrādē. Backdoor.Mistic parādīšanās atspoguļo arī plašāku nozares tendenci, kurā izspiedējvīrusu operācijas arvien vairāk balstās uz pielāgotu ļaunprogrammatūru, eksfiltrācijas utilītprogrammām un specializētiem piekļuves rīkiem.
Pašreizējie pierādījumi liecina, ka Mistic, visticamāk, ir piekļuves brokeru sadarbības ar izspiedējvīrusu filiālēm produkts, nevis rīks, ko tieši izstrādājusi izspiedējvīrusu grupa.
