Ușă din spate mistică
Un backdoor sofisticat, cunoscut sub numele de Mistic, urmărit și sub numele de MLTBackdoor, a apărut într-un val de atacuri cibernetice suspectate de motive financiare, active din aprilie 2026. Malware-ul a fost detectat în atacuri împotriva organizațiilor care operează în sectoarele asigurărilor, educației, tehnologiei informației și serviciilor profesionale.
Cercetătorii în domeniul securității au legat operațiunea de brokerul de acces inițial (IAB) KongTuke, cunoscut și sub mai multe aliasuri, inclusiv 404 TDS, Chaya_002, LandUpdate808, TAG-124 și Woodgnat. În timpul acestor intruziuni, Mistic a fost implementat alături de ModeloRAT, un troian de acces la distanță bazat pe Python atribuit anterior aceluiași actor de amenințare.
Cuprins
Conceput pentru acces discret și pe termen lung
Mistic se remarcă prin capacitatea sa de a opera în întregime în memorie, fără a scrie fișiere pe disc, reducând semnificativ șansele de detectare. Malware-ul încorporează, de asemenea, un kill switch integrat care îi permite să se ștergă singur atunci când este necesar. Aceste caracteristici sugerează că operatorii se concentrează pe menținerea accesului persistent și secret la mediile compromise.
Pentru a evita atragerea atenției, malware-ul se bazează pe tehnici de încărcare laterală a DLL-urilor, abuzând de utilitarul legitim de securitate endpoint MpExtMs.exe al Microsoft pentru a se integra în activitatea normală a sistemului.
Evoluția campaniilor de livrare ClickFix
ModeloRAT a atras atenția pentru prima dată în ianuarie 2026, în timpul investigațiilor privind o variantă a campaniei ClickFix, cunoscută sub numele de CrashFix. În această operațiune, actorii KongTuke au distribuit o extensie malițioasă pentru Google Chrome, deghizată în blocator de reclame. Extensia bloca intenționat browserele victimelor și apoi le înșela să execute comenzi malițioase sub pretextul efectuării unei scanări de securitate.
O altă campanie ClickFix a folosit o abordare diferită, instruind victimele să execute comenzi care efectuau o căutare în Sistemul de nume de domeniu (DNS). Cererea DNS a fost apoi utilizată pentru a recupera sarcina utilă din etapa următoare, transformând efectiv DNS într-un mecanism ușor de provizorat și semnalizare pentru atacatori.
În iunie 2026, cercetătorii au evidențiat, de asemenea, utilizarea ClickFix ca mecanism de transmitere a informațiilor către Mistic, atribuind activitatea unui actor de amenințare asociat ransomware-ului care încerca să obțină un punct de sprijin inițial și să faciliteze mișcarea laterală între rețele.
Capacități care fac Mistic extrem de periculos
Backdoor-ul oferă o gamă largă de funcții asociate în mod obișnuit cu programele malware avansate de acces la distanță, inclusiv:
Încărcarea și descărcarea fișierelor, crearea de foldere și mutarea, redenumirea sau ștergerea fișierelor.
Executarea de cod malițios direct în memorie, încărcarea fișierelor obiect Beacon pentru a extinde funcționalitatea, modificarea intervalelor de interogare a comenzilor și terminarea și ștergerea proprie pentru a elimina dovezile.
Direcționarea oportunistă și conexiunile ransomware
Campania pare să urmeze un model oportunist, în loc să se concentreze pe o singură industrie. Se pare că atacatorii compromit o gamă largă de organizații și apoi evaluează care victime ar putea oferi oportunități de acces profitabile pentru vânzare către alți infractori cibernetici.
Cercetătorii au observat, de asemenea, ModeloRAT în atacuri care au dus în cele din urmă la implementarea ransomware-ului Qilin, consolidând legătura dintre brokerii de acces inițial și operatorii de ransomware.
Arsenalul tot mai mare de tehnici de inginerie socială al KongTuke
KongTuke operează un sistem sofisticat de distribuție a traficului (TDS) construit pe site-uri web WordPress compromise. Această infrastructură este utilizată pentru a prezenta momeli în continuă schimbare care redirecționează vizitatorii neatenți către lanțuri de distribuție a programelor malware.
Mai recent, companiile de securitate Rapid7 și ReliaQuest au raportat că atacatorul și-a schimbat tactica, trimițând mesaje Microsoft Teams din conturi frauduloase de „Asistență IT”. Aceste mesaje inițiază un lanț de atacuri care culminează cu implementarea ModeloRAT.
O tendință în creștere în dezvoltarea de programe malware personalizate
Sofisticarea programului Mistic și presupusa implicare a lui Woodgnat în dezvoltarea ModeloRAT indică un grup extrem de calificat, specializat în instrumente de acces la distanță ascunse. Apariția Backdoor.Mistic reflectă, de asemenea, o tendință mai largă a industriei, în care operațiunile ransomware se bazează din ce în ce mai mult pe programe malware personalizate, utilitare de exfiltrare și instrumente de acces specializate.
Dovezile actuale sugerează că Mistic este probabil produsul unor brokeri de acces care colaborează cu afiliați ransomware, mai degrabă decât un instrument dezvoltat direct de un grup ransomware în sine.
