Mystieke achterdeur
Een geavanceerde backdoor, bekend als Mistic en ook wel bekend als MLTBackdoor, is opgedoken in een golf van vermoedelijk financieel gemotiveerde cyberaanvallen die sinds april 2026 actief zijn. De malware is aangetroffen bij aanvallen op organisaties in de verzekerings-, onderwijs-, IT- en professionele dienstverleningssector.
Beveiligingsonderzoekers hebben de operatie in verband gebracht met de initial access broker (IAB) KongTuke, die ook bekend staat onder verschillende aliassen, waaronder 404 TDS, Chaya_002, LandUpdate808, TAG-124 en Woodgnat. Tijdens deze inbraken werd Mistic ingezet in combinatie met ModeloRAT, een op Python gebaseerde remote access trojan die eerder aan dezelfde dreigingsactor werd toegeschreven.
Inhoudsopgave
Ontworpen voor onopvallendheid en langdurige toegang.
Mistic onderscheidt zich door zijn vermogen om volledig in het geheugen te werken zonder bestanden naar de schijf te schrijven, waardoor de kans op detectie aanzienlijk kleiner wordt. De malware bevat ook een ingebouwde kill switch waarmee hij zichzelf indien nodig kan wissen. Deze kenmerken suggereren dat de beheerders zich richten op het behouden van permanente en heimelijke toegang tot gecompromitteerde omgevingen.
Om geen aandacht te trekken, maakt de malware gebruik van DLL-sideloadingtechnieken, waarbij misbruik wordt gemaakt van Microsofts legitieme endpointbeveiligingsprogramma MpExtMs.exe om op te gaan in de normale systeemactiviteit.
De evolutie van ClickFix-bezorgcampagnes
ModeloRAT trok voor het eerst de aandacht in januari 2026 tijdens onderzoek naar een variant van de ClickFix-campagne, genaamd CrashFix. Bij deze operatie verspreidden KongTuke-actoren een kwaadaardige Google Chrome-extensie die zich voordeed als een advertentieblokker. De extensie liet opzettelijk de browsers van slachtoffers crashen en misleidde hen vervolgens om kwaadaardige commando's uit te voeren onder het mom van een beveiligingsscan.
Een andere ClickFix-campagne gebruikte een andere aanpak door slachtoffers te instrueren commando's uit te voeren die een DNS-lookup (Domain Name System) uitvoerden. Het DNS-verzoek werd vervolgens gebruikt om de payload van de volgende fase op te halen, waardoor DNS in feite een lichtgewicht mechanisme voor het voorbereiden en signaleren van aanvallen werd voor de aanvallers.
In juni 2026 wezen onderzoekers ook op het gebruik van ClickFix als distributiemechanisme voor Mistic, waarbij ze de activiteit toeschreven aan een aan ransomware gelieerde dreigingsactor die probeerde een eerste voet aan de grond te krijgen en zich vervolgens over netwerken te verspreiden.
Mogelijkheden die Mistic zeer gevaarlijk maken
De backdoor biedt een breed scala aan functies die doorgaans geassocieerd worden met geavanceerde malware voor toegang op afstand, waaronder:
Bestanden uploaden en downloaden, mappen aanmaken en bestanden verplaatsen, hernoemen of verwijderen.
Het direct uitvoeren van kwaadaardige code in het geheugen, het laden van Beacon Object Files om de functionaliteit uit te breiden, het wijzigen van de polling-intervallen van commando's en het zichzelf beëindigen en verwijderen om bewijsmateriaal uit te wissen.
Verbindingen tussen opportunistische doelwitten en ransomware
De campagne lijkt een opportunistisch model te volgen in plaats van zich op één specifieke sector te richten. Aanvallers zouden een breed scala aan organisaties infecteren en vervolgens evalueren welke slachtoffers winstgevende toegangsmogelijkheden kunnen bieden die ze vervolgens aan andere cybercriminelen kunnen verkopen.
Onderzoekers hebben ModeloRAT ook waargenomen bij aanvallen die uiteindelijk resulteerden in de inzet van Qilin-ransomware, wat de link tussen initial access brokers en ransomware-operatoren versterkt.
KongTuke’s steeds groter wordende arsenaal aan sociale manipulatietechnieken
KongTuke beheert een geavanceerd verkeersdistributiesysteem (TDS) dat is gebouwd op gehackte WordPress-websites. Deze infrastructuur wordt gebruikt om voortdurend veranderende lokmiddelen te presenteren die nietsvermoedende bezoekers doorverwijzen naar malware-distributieketens.
Onlangs meldden de beveiligingsbedrijven Rapid7 en ReliaQuest dat de aanvaller zijn tactiek heeft gewijzigd door Microsoft Teams-berichten te versturen vanaf frauduleuze 'IT Support'-accounts. Deze berichten zetten een aanvalsketen in gang die uiteindelijk leidt tot de inzet van ModeloRAT.
Een groeiende trend in de ontwikkeling van aangepaste malware.
De geavanceerdheid van Mistic en de vermoedelijke betrokkenheid van Woodgnat bij de ontwikkeling van ModeloRAT wijzen op een zeer bekwame groep die gespecialiseerd is in heimelijke tools voor toegang op afstand. De opkomst van Backdoor.Mistic weerspiegelt ook een bredere trend in de sector, waarbij ransomware-aanvallen steeds vaker gebruikmaken van op maat gemaakte malware, exfiltratietools en gespecialiseerde toegangsmiddelen.
Uit de huidige gegevens blijkt dat Mistic waarschijnlijk het product is van toegangsbrokers die samenwerken met ransomware-aanhangers, in plaats van een tool die direct door een ransomwaregroep zelf is ontwikkeld.
