Мистический бэкдор
Сложный бэкдор, известный также как Mistic и MLTBackdoor, появился в результате волны кибератак, предположительно мотивированных финансовыми интересами, которые продолжаются с апреля 2026 года. Вредоносное ПО было обнаружено в атаках на организации, работающие в секторах страхования, образования, информационных технологий и профессиональных услуг.
Исследователи в области безопасности связали эту операцию с брокером первоначального доступа (IAB) KongTuke, также известным под несколькими псевдонимами, включая 404 TDS, Chaya_002, LandUpdate808, TAG-124 и Woodgnat. Во время этих вторжений Mistic был развернут вместе с ModeloRAT, трояном удаленного доступа на основе Python, ранее приписываемым тому же злоумышленнику.
Оглавление
Разработан для скрытного доступа и длительного использования.
Mistic выделяется своей способностью работать исключительно в оперативной памяти, не записывая файлы на диск, что значительно снижает вероятность обнаружения. Вредоносная программа также имеет встроенный «аварийный выключатель», позволяющий ей самоудаляться при необходимости. Эти характеристики указывают на то, что операторы сосредоточены на поддержании постоянного и скрытого доступа к скомпрометированным средам.
Чтобы не привлекать к себе внимания, вредоносная программа использует методы установки DLL-файлов через сторонние источники, злоупотребляя легитимной утилитой Microsoft для защиты конечных точек MpExtMs.exe, чтобы слиться с обычной системной активностью.
Эволюция кампаний доставки ClickFix
ModeloRAT впервые привлек внимание в январе 2026 года в ходе расследования варианта кампании ClickFix, известного как CrashFix. В рамках этой операции злоумышленники из KongTuke распространяли вредоносное расширение для Google Chrome, замаскированное под блокировщик рекламы. Расширение намеренно вызывало сбои в работе браузеров жертв, а затем обманом заставляло их выполнять вредоносные команды под видом проверки безопасности.
В другой кампании ClickFix использовался иной подход: жертвам предлагалось выполнить команды, которые осуществляли поиск в системе доменных имен (DNS). Затем запрос DNS использовался для получения полезной нагрузки следующего этапа, фактически превращая DNS в облегченный механизм подготовки и сигнализации для злоумышленников.
В июне 2026 года исследователи также обратили внимание на использование ClickFix в качестве механизма доставки Mistic, приписав эту деятельность злоумышленнику, связанному с программами-вымогателями, который пытается закрепиться на начальном этапе и облегчить горизонтальное перемещение по сетям.
Возможности, которые делают Мистика крайне опасным
Бэкдор предлагает широкий набор функций, обычно присущих продвинутым вредоносным программам удаленного доступа, в том числе:
Загрузка и скачивание файлов, создание папок, перемещение, переименование или удаление файлов.
Выполнение вредоносного кода непосредственно в памяти, загрузка объектных файлов маяков для расширения функциональности, изменение интервалов опроса команд, а также завершение и удаление самого себя для уничтожения улик.
Целенаправленное нацеливание и связи с программами-вымогателями
По всей видимости, кампания носит оппортунистический характер, а не нацелена на какую-либо одну отрасль. Сообщается, что злоумышленники взламывают системы широкого круга организаций, а затем оценивают, какие из жертв могут предоставить выгодные возможности доступа для продажи другим киберпреступникам.
Исследователи также обнаружили ModeloRAT в атаках, которые в конечном итоге привели к развертыванию программы-вымогателя Qilin, что подтверждает связь между брокерами первоначального доступа и операторами программ-вымогателей.
Расширяющийся арсенал методов социальной инженерии KongTuke
KongTuke использует сложную систему распределения трафика (TDS), построенную на скомпрометированных сайтах WordPress. Эта инфраструктура используется для показа постоянно меняющихся приманок, которые перенаправляют ничего не подозревающих посетителей к цепочкам доставки вредоносного ПО.
Недавно компании Rapid7 и ReliaQuest, специализирующиеся на информационной безопасности, сообщили, что злоумышленник изменил тактику, рассылая сообщения в Microsoft Teams с мошеннических учетных записей «ИТ-поддержки». Эти сообщения запускают цепочку атак, кульминацией которой является развертывание ModeloRAT.
Растущая тенденция в разработке вредоносного ПО на заказ.
Сложность Mistic и предполагаемое участие Woodgnat в разработке ModeloRAT указывают на высококвалифицированную группу, специализирующуюся на скрытых инструментах удаленного доступа. Появление Backdoor.Mistic также отражает более широкую тенденцию в отрасли, в которой операции по распространению программ-вымогателей все чаще полагаются на специально разработанное вредоносное ПО, утилиты для эксфильтрации данных и специализированные инструменты доступа.
Имеющиеся данные свидетельствуют о том, что Mistic, скорее всего, является результатом сотрудничества брокеров доступа с филиалами программ-вымогателей, а не инструментом, разработанным непосредственно самой группой программ-вымогателей.
