Pintu Belakang Mistik
Sebuah sistem 'backdoor' canggih yang dikenali sebagai Mistic, juga dikenali sebagai MLTBackdoor, telah muncul dalam gelombang serangan siber yang disyaki bermotifkan kewangan yang telah aktif sejak April 2026. Perisian hasad ini telah dikesan dalam serangan terhadap organisasi yang beroperasi dalam sektor insurans, pendidikan, teknologi maklumat dan perkhidmatan profesional.
Penyelidik keselamatan telah mengaitkan operasi tersebut dengan broker akses awal (IAB) KongTuke, yang juga dikenali dengan beberapa alias, termasuk 404 TDS, Chaya_002, LandUpdate808, TAG-124 dan Woodgnat. Semasa pencerobohan ini, Mistic telah digunakan bersama ModeloRAT, trojan akses jauh berasaskan Python yang sebelum ini dikaitkan dengan pelaku ancaman yang sama.
Isi kandungan
Direka untuk Akses Tersembunyi dan Jangka Panjang
Mistic menonjol kerana keupayaannya beroperasi sepenuhnya dalam memori tanpa menulis fail ke cakera, sekali gus mengurangkan peluang pengesanan dengan ketara. Perisian hasad ini juga menggabungkan suis bunuh terbina dalam yang membolehkannya memadamkan dirinya sendiri apabila perlu. Ciri-ciri ini menunjukkan bahawa pengendali memberi tumpuan kepada mengekalkan akses berterusan dan rahsia kepada persekitaran yang terjejas.
Untuk mengelakkan daripada menarik perhatian, perisian hasad ini bergantung pada teknik pemuatan sisi DLL, menyalahgunakan utiliti keselamatan titik akhir Microsoft yang sah, MpExtMs.exe, untuk digabungkan dengan aktiviti sistem biasa.
Evolusi Kempen Penghantaran ClickFix
ModeloRAT pertama kali mendapat perhatian pada Januari 2026 semasa siasatan terhadap varian kempen ClickFix yang dikenali sebagai CrashFix. Dalam operasi ini, pelakon KongTuke mengedarkan sambungan Google Chrome berniat jahat yang menyamar sebagai penyekat iklan. Sambungan tersebut sengaja merosakkan pelayar mangsa dan kemudian memperdaya mereka untuk melaksanakan arahan berniat jahat di bawah penyamaran melakukan imbasan keselamatan.
Satu lagi kempen ClickFix menggunakan pendekatan berbeza dengan mengarahkan mangsa untuk melaksanakan arahan yang melakukan carian Sistem Nama Domain (DNS). Permintaan DNS kemudiannya digunakan untuk mendapatkan muatan peringkat seterusnya, sekali gus mengubah DNS menjadi mekanisme pementasan dan isyarat yang ringan untuk penyerang.
Pada bulan Jun 2026, para penyelidik juga mengetengahkan penggunaan ClickFix sebagai mekanisme penyampaian untuk Mistic, mengaitkan aktiviti tersebut dengan pelaku ancaman berkaitan ransomware yang cuba mendapatkan kedudukan awal dan memudahkan pergerakan lateral merentasi rangkaian.
Keupayaan Yang Menjadikan Mistic Sangat Berbahaya
Pintu belakang menawarkan pelbagai fungsi yang biasanya dikaitkan dengan perisian hasad akses jauh lanjutan, termasuk:
Memuat naik dan memuat turun fail, mencipta folder dan memindahkan, menamakan semula atau memadam fail.
Melaksanakan kod berniat jahat secara langsung dalam ingatan, memuatkan Fail Objek Beacon untuk melanjutkan fungsi, mengubah suai selang pengundian arahan dan menamatkan serta memadamkan dirinya sendiri untuk menghapuskan bukti.
Penyasaran Oportunistik dan Sambungan Ransomware
Kempen ini nampaknya mengikuti model oportunis dan bukannya menumpukan pada satu industri sahaja. Penyerang dilaporkan sedang menjejaskan pelbagai organisasi dan kemudian menilai mangsa mana yang boleh menyediakan peluang akses yang menguntungkan untuk dijual kepada penjenayah siber lain.
Para penyelidik juga telah memerhatikan ModeloRAT dalam serangan yang akhirnya mengakibatkan penggunaan ransomware Qilin, memperkukuh hubungan antara broker akses awal dan pengendali ransomware.
Gudang Teknik Kejuruteraan Sosial KongTuke yang Semakin Berkembang
KongTuke mengendalikan sistem pengedaran trafik (TDS) yang canggih yang dibina di laman web WordPress yang diceroboh. Infrastruktur ini digunakan untuk membentangkan gewang yang sentiasa berubah yang mengalihkan pelawat yang tidak curiga ke arah rantaian penghantaran perisian hasad.
Baru-baru ini, syarikat keselamatan Rapid7 dan ReliaQuest melaporkan bahawa pelaku ancaman telah mengubah taktik dengan menghantar mesej Microsoft Teams daripada akaun 'Sokongan IT' palsu. Mesej-mesej ini memulakan rantaian serangan yang berakhir dengan penggunaan ModeloRAT.
Trend yang Semakin Berkembang dalam Pembangunan Perisian Hasad Tersuai
Kecanggihan Mistic dan penglibatan Woodgnat yang disyaki dalam pembangunan ModeloRAT menunjukkan kumpulan yang sangat mahir yang mengkhusus dalam alat akses jauh yang tersembunyi. Kemunculan Backdoor.Mistic juga mencerminkan trend industri yang lebih luas di mana operasi ransomware semakin bergantung pada malware yang dibina khas, utiliti pengekstrakan dan alat akses khusus.
Bukti semasa menunjukkan bahawa Mistic kemungkinan besar merupakan hasil daripada broker akses yang bekerjasama dengan sekutu ransomware dan bukannya alat yang dibangunkan secara langsung oleh kumpulan ransomware itu sendiri.
