Mistic Backdoor
Wyrafinowany backdoor znany jako Mistic, śledzony również jako MLTBackdoor, pojawił się w fali podejrzewanych cyberataków o podłożu finansowym, które trwają od kwietnia 2026 roku. Szkodliwe oprogramowanie zostało wykryte w atakach na organizacje działające w sektorach ubezpieczeń, edukacji, technologii informatycznych i usług profesjonalnych.
Badacze bezpieczeństwa powiązali tę operację z brokerem dostępu początkowego (IAB) KongTuke, znanym również pod kilkoma aliasami, w tym 404 TDS, Chaya_002, LandUpdate808, TAG-124 i Woodgnat. Podczas tych włamań, Mistic został wdrożony wraz z ModeloRAT, trojanem zdalnego dostępu opartym na Pythonie, wcześniej przypisywanym temu samemu podmiotowi.
Spis treści
Zaprojektowane z myślą o ukryciu i długotrwałym dostępie
Mistic wyróżnia się możliwością działania wyłącznie w pamięci operacyjnej, bez zapisywania plików na dysku, co znacznie zmniejsza ryzyko wykrycia. Szkodliwe oprogramowanie posiada również wbudowany wyłącznik awaryjny, który pozwala mu w razie potrzeby usunąć dane. Te cechy sugerują, że operatorzy koncentrują się na utrzymaniu trwałego i ukrytego dostępu do zainfekowanych środowisk.
Aby uniknąć zwracania na siebie uwagi, złośliwe oprogramowanie stosuje techniki bocznego ładowania bibliotek DLL, wykorzystując legalne narzędzie firmy Microsoft do zabezpieczania punktów końcowych MpExtMs.exe, aby wtopić się w normalną aktywność systemu.
Ewolucja kampanii dostarczających ClickFix
ModeloRAT po raz pierwszy zwrócił na siebie uwagę w styczniu 2026 roku podczas śledztwa w sprawie wariantu kampanii ClickFix znanego jako CrashFix. W ramach tej operacji cyberprzestępcy z KongTuke rozpowszechniali złośliwe rozszerzenie do przeglądarki Google Chrome podszywające się pod bloker reklam. Rozszerzenie celowo powodowało awarię przeglądarek ofiar, a następnie podstępem nakłaniało je do wykonywania złośliwych poleceń pod pretekstem skanowania bezpieczeństwa.
Inna kampania ClickFix zastosowała inne podejście, instruując ofiary, aby wykonywały polecenia, które przeprowadzały wyszukiwanie w systemie nazw domen (DNS). Żądanie DNS było następnie wykorzystywane do pobrania ładunku kolejnego etapu, skutecznie przekształcając DNS w lekki mechanizm przygotowawczy i sygnalizacyjny dla atakujących.
W czerwcu 2026 r. badacze zwrócili również uwagę na wykorzystanie ClickFix jako mechanizmu dostarczającego oprogramowanie Mistic, przypisując tę aktywność atakującemu powiązanemu z oprogramowaniem ransomware, który próbował uzyskać początkowy punkt zaczepienia i ułatwić rozprzestrzenianie się w sieciach.
Możliwości, które czynią Mistica niezwykle niebezpiecznym
Tylne drzwi oferują szeroki zestaw funkcji powszechnie kojarzonych z zaawansowanym złośliwym oprogramowaniem umożliwiającym zdalny dostęp, w tym:
Przesyłanie i pobieranie plików, tworzenie folderów oraz przenoszenie, zmiana nazw i usuwanie plików.
Wykonywanie złośliwego kodu bezpośrednio w pamięci, ładowanie plików obiektów Beacon w celu rozszerzenia funkcjonalności, modyfikowanie interwałów sondowania poleceń oraz zamykanie i usuwanie samego siebie w celu usunięcia dowodów.
Oportunistyczne celowanie i połączenia z oprogramowaniem ransomware
Kampania wydaje się opierać na modelu oportunistycznym, a nie na koncentrowaniu się na jednej branży. Atakujący podobno atakują szeroki wachlarz organizacji, a następnie oceniają, które ofiary mogłyby zapewnić zyskowne możliwości dostępu do sprzedaży innym cyberprzestępcom.
Badacze zaobserwowali również obecność ModeloRAT w atakach, które ostatecznie doprowadziły do wdrożenia ransomware Qilin, co wzmocniło powiązanie między początkowymi brokerami dostępu a operatorami ransomware.
Rozszerzający się arsenał technik inżynierii społecznej KongTuke’a
KongTuke obsługuje zaawansowany system dystrybucji ruchu (TDS) oparty na zainfekowanych witrynach WordPress. Infrastruktura ta służy do prezentowania stale zmieniających się przynęt, które kierują niczego niepodejrzewających użytkowników w stronę łańcuchów dystrybucji złośliwego oprogramowania.
Niedawno firmy zajmujące się bezpieczeństwem Rapid7 i ReliaQuest poinformowały, że cyberprzestępcy zmienili taktykę, wysyłając wiadomości w usłudze Microsoft Teams z fałszywych kont „wsparcia IT”. Wiadomości te inicjują łańcuch ataków, który kończy się wdrożeniem oprogramowania ModeloRAT.
Rosnący trend w tworzeniu niestandardowego złośliwego oprogramowania
Zaawansowanie Mistic i podejrzewany udział Woodgnata w rozwoju ModeloRAT wskazują na wysoko wykwalifikowaną grupę specjalizującą się w ukrytych narzędziach do zdalnego dostępu. Pojawienie się Backdoor.Mistic odzwierciedla również szerszy trend branżowy, w którym operacje ransomware coraz częściej opierają się na tworzonym na zamówienie złośliwym oprogramowaniu, narzędziach do eksfiltracji i specjalistycznych narzędziach dostępu.
Obecne dowody wskazują, że Mistic jest najprawdopodobniej efektem współpracy brokerów dostępu z podmiotami powiązanymi z ransomware, a nie narzędziem opracowanym bezpośrednio przez samą grupę zajmującą się ransomware.
