Porta dos Fundos Mística
Um backdoor sofisticado, conhecido como Mistic, também rastreado como MLTBackdoor, surgiu em uma onda de ciberataques suspeitos de motivação financeira, que estão ativos desde abril de 2026. O malware foi detectado em ataques contra organizações que atuam nos setores de seguros, educação, tecnologia da informação e serviços profissionais.
Pesquisadores de segurança associaram a operação ao agente de acesso inicial (IAB) KongTuke, também conhecido por diversos outros nomes, incluindo 404 TDS, Chaya_002, LandUpdate808, TAG-124 e Woodgnat. Durante essas intrusões, o Mistic foi implantado juntamente com o ModeloRAT, um trojan de acesso remoto baseado em Python, anteriormente atribuído ao mesmo agente de ameaças.
Índice
Projetado para discrição e acesso a longo prazo.
O Mistic se destaca por sua capacidade de operar inteiramente na memória, sem gravar arquivos em disco, reduzindo significativamente as chances de detecção. O malware também incorpora um mecanismo de autodestruição integrado que permite que ele se apague quando necessário. Essas características sugerem que os operadores estão focados em manter um acesso persistente e secreto a ambientes comprometidos.
Para evitar chamar a atenção, o malware utiliza técnicas de carregamento lateral de DLLs, abusando do utilitário legítimo de segurança de endpoints da Microsoft, MpExtMs.exe, para se misturar à atividade normal do sistema.
A evolução das campanhas de entrega do ClickFix
O grupo ModeloRAT chamou a atenção pela primeira vez em janeiro de 2026, durante investigações sobre uma variante da campanha ClickFix conhecida como CrashFix. Nessa operação, agentes do KongTuke distribuíram uma extensão maliciosa para o Google Chrome disfarçada de bloqueador de anúncios. A extensão travava intencionalmente os navegadores das vítimas e, em seguida, as enganava para que executassem comandos maliciosos sob o pretexto de realizar uma verificação de segurança.
Outra campanha da ClickFix utilizou uma abordagem diferente, instruindo as vítimas a executar comandos que realizavam uma consulta ao Sistema de Nomes de Domínio (DNS). A solicitação de DNS era então usada para recuperar o payload da próxima etapa, transformando efetivamente o DNS em um mecanismo leve de preparação e sinalização para os atacantes.
Em junho de 2026, pesquisadores também destacaram o uso do ClickFix como mecanismo de distribuição do Mistic, atribuindo a atividade a um agente de ameaça associado a ransomware que tentava obter uma posição inicial e facilitar a movimentação lateral em redes.
Capacidades que tornam Mistic altamente perigoso
A porta dos fundos oferece um amplo conjunto de funções comumente associadas a malwares avançados de acesso remoto, incluindo:
Carregar e descarregar ficheiros, criar pastas e mover, renomear ou eliminar ficheiros.
Executar código malicioso diretamente na memória, carregar arquivos de objeto Beacon para estender a funcionalidade, modificar os intervalos de verificação de comandos e encerrar e excluir a si mesmo para eliminar evidências.
Conexões entre Alvos Oportunistas e Ransomware
A campanha parece seguir um modelo oportunista, em vez de se concentrar em um único setor. Os atacantes estariam comprometendo uma ampla gama de organizações e, em seguida, avaliando quais vítimas poderiam fornecer oportunidades de acesso lucrativas para venda a outros cibercriminosos.
Os pesquisadores também observaram o ModeloRAT em ataques que culminaram na implantação do ransomware Qilin, reforçando a conexão entre os intermediários de acesso inicial e os operadores de ransomware.
O crescente arsenal de técnicas de engenharia social de KongTuke
O KongTuke opera um sofisticado sistema de distribuição de tráfego (TDS) construído sobre sites WordPress comprometidos. Essa infraestrutura é usada para apresentar iscas em constante mudança que redirecionam visitantes desavisados para cadeias de distribuição de malware.
Mais recentemente, as empresas de segurança Rapid7 e ReliaQuest relataram que o agente de ameaças mudou de tática, enviando mensagens do Microsoft Teams a partir de contas fraudulentas de "Suporte de TI". Essas mensagens iniciam uma cadeia de ataques que culmina na implantação do ModeloRAT.
Uma tendência crescente no desenvolvimento de malware personalizado
A sofisticação do Mistic e o suposto envolvimento da Woodgnat no desenvolvimento do ModeloRAT apontam para um grupo altamente qualificado, especializado em ferramentas furtivas de acesso remoto. O surgimento do Backdoor.Mistic também reflete uma tendência mais ampla do setor, na qual as operações de ransomware dependem cada vez mais de malware personalizado, utilitários de exfiltração e ferramentas de acesso especializadas.
As evidências atuais sugerem que o Mistic provavelmente é produto de intermediários de acesso que colaboram com afiliados de ransomware, e não uma ferramenta desenvolvida diretamente por um grupo de ransomware.
