Mistic bakdør
En sofistikert bakdør kjent som Mistic, også sporet som MLTBackdoor, har dukket opp i en bølge av mistenkte økonomisk motiverte cyberangrep som har vært aktive siden april 2026. Skadevaren har blitt oppdaget i angrep mot organisasjoner som opererer innen forsikring, utdanning, informasjonsteknologi og profesjonelle tjenester.
Sikkerhetsforskere har knyttet operasjonen til den første tilgangsmegleren (IAB) KongTuke, også kjent under flere alias, inkludert 404 TDS, Chaya_002, LandUpdate808, TAG-124 og Woodgnat. Under disse inntrengingene har Mistic blitt distribuert sammen med ModeloRAT, en Python-basert trojaner for fjerntilgang som tidligere ble tilskrevet den samme trusselaktøren.
Innholdsfortegnelse
Designet for skjult bruk og langsiktig tilgang
Mistic skiller seg ut på grunn av sin evne til å operere utelukkende i minnet uten å skrive filer til disk, noe som reduserer sjansene for oppdagelse betydelig. Skadevaren har også en innebygd kill switch som lar den slette seg selv når det er nødvendig. Disse egenskapene tyder på at operatørene er fokusert på å opprettholde vedvarende og skjult tilgang til kompromitterte miljøer.
For å unngå å tiltrekke seg oppmerksomhet, bruker skadevaren DLL-sidelastingsteknikker, og misbruker Microsofts legitime endepunktssikkerhetsverktøy MpExtMs.exe for å blande seg inn i normal systemaktivitet.
Utviklingen av ClickFix-leveringskampanjer
ModeloRAT fikk først oppmerksomhet i januar 2026 under etterforskning av en ClickFix-kampanjevariant kjent som CrashFix. I denne operasjonen distribuerte KongTuke-aktører en ondsinnet Google Chrome-utvidelse forkledd som en annonseblokkerer. Utvidelsen krasjet med vilje ofrenes nettlesere og lurte dem deretter til å utføre ondsinnede kommandoer under dekke av å utføre en sikkerhetsskanning.
En annen ClickFix-kampanje brukte en annen tilnærming ved å instruere ofrene til å utføre kommandoer som utførte et DNS-oppslag (Domain Name System). DNS-forespørselen ble deretter brukt til å hente neste nyttelast, noe som effektivt gjorde DNS til en lettvekts staging- og signalmekanisme for angriperne.
I juni 2026 fremhevet forskere også bruken av ClickFix som en leveringsmekanisme for Mistic, og tilskrev aktiviteten til en ransomware-assosiert trusselaktør som forsøkte å få et innledende fotfeste og legge til rette for lateral bevegelse på tvers av nettverk.
Evner som gjør Mistic svært farlig
Bakdøren tilbyr et bredt sett med funksjoner som vanligvis forbindes med avansert skadelig programvare for ekstern tilgang, inkludert:
Laste opp og laste ned filer, opprette mapper og flytte, gi nytt navn til eller slette filer.
Utfører ondsinnet kode direkte i minnet, laster inn Beacon-objektfiler for å utvide funksjonalitet, endrer kommandoavstemningsintervaller og avslutter og sletter seg selv for å eliminere bevis.
Opportunistisk målretting og løsepengevirusforbindelser
Kampanjen ser ut til å følge en opportunistisk modell snarere enn å fokusere på én enkelt bransje. Angripere skal angivelig ha kompromittert et bredt spekter av organisasjoner og deretter evaluert hvilke ofre som kan gi lønnsomme tilgangsmuligheter for salg til andre nettkriminelle.
Forskere har også observert ModeloRAT i angrep som til slutt resulterte i utplassering av Qilin ransomware, noe som forsterker forbindelsen mellom meglere av initial tilgang og ransomware-operatører.
KongTukes voksende arsenal av sosiale manipulasjonsteknikker
KongTuke driver et sofistikert trafikkdistribusjonssystem (TDS) bygget på kompromitterte WordPress-nettsteder. Denne infrastrukturen brukes til å presentere kontinuerlig skiftende lokkemidler som omdirigerer intetanende besøkende mot leveringskjeder for skadelig programvare.
Nylig rapporterte sikkerhetsselskapene Rapid7 og ReliaQuest at trusselaktøren har endret taktikk ved å sende Microsoft Teams-meldinger fra falske «IT-support»-kontoer. Disse meldingene starter en angrepskjede som kulminerer i utrullingen av ModeloRAT.
En økende trend innen utvikling av tilpasset skadelig programvare
Mistics sofistikerte karakter og den mistenkte involveringen av Woodgnat i utviklingen av ModeloRAT peker mot en svært dyktig gruppe som spesialiserer seg på snikende verktøy for fjerntilgang. Fremveksten av Backdoor.Mistic gjenspeiler også en bredere bransjetrend der ransomware-operasjoner i økende grad er avhengige av spesialbygd skadevare, eksfiltreringsverktøy og spesialiserte tilgangsverktøy.
Nåværende bevis tyder på at Mistic sannsynligvis er et produkt av tilgangsmeglere som samarbeider med ransomware-tilknyttede selskaper, snarere enn et verktøy utviklet direkte av en ransomware-gruppe selv.
