Mystické zadné vrátka
Sofistikovaný backdoor známy ako Mistic, sledovaný aj ako MLTBackdoor, sa objavil vo vlne podozrivých finančne motivovaných kybernetických útokov, ktoré sú aktívne od apríla 2026. Malvér bol zistený pri útokoch na organizácie pôsobiace v sektoroch poisťovníctva, vzdelávania, informačných technológií a profesionálnych služieb.
Bezpečnostní výskumníci spojili operáciu s pôvodným sprostredkovateľom prístupu (IAB) KongTuke, známym aj pod niekoľkými prezývkami vrátane 404 TDS, Chaya_002, LandUpdate808, TAG-124 a Woodgnat. Počas týchto útokov bol Mistic nasadený spolu s ModeloRAT, trójskym koňom pre vzdialený prístup založeným na jazyku Python, ktorý bol predtým pripisovaný rovnakému aktérovi hrozby.
Obsah
Navrhnuté pre nenápadný a dlhodobý prístup
Mistic vyniká svojou schopnosťou fungovať výlučne v pamäti bez zapisovania súborov na disk, čo výrazne znižuje šance na odhalenie. Malvér má tiež zabudovaný kill switch, ktorý mu umožňuje v prípade potreby sa vymazať. Tieto vlastnosti naznačujú, že operátori sa zameriavajú na udržiavanie trvalého a skrytého prístupu do napadnutých prostredí.
Aby sa predišlo pútaniu pozornosti, malvér sa spolieha na techniky bočného načítavania DLL a zneužíva legitímny nástroj na zabezpečenie koncových bodov od spoločnosti Microsoft s názvom MpExtMs.exe na splynutie s bežnou aktivitou systému.
Vývoj doručovacích kampaní ClickFix
ModeloRAT prvýkrát upútal pozornosť v januári 2026 počas vyšetrovania variantu kampane ClickFix známeho ako CrashFix. V tejto operácii aktéri KongTuke distribuovali škodlivé rozšírenie pre Google Chrome maskované ako blokovač reklám. Rozšírenie zámerne zrútilo prehliadače obetí a potom ich oklamalo, aby vykonali škodlivé príkazy pod zámienkou vykonania bezpečnostnej kontroly.
Ďalšia kampaň ClickFix použila odlišný prístup, v ktorom obetiam nariadila vykonávať príkazy, ktoré vykonávali vyhľadávanie v systéme DNS (Domain Name System). Požiadavka DNS sa potom použila na načítanie ďalšieho užitočného zaťaženia, čím sa DNS efektívne premenilo na ľahký mechanizmus pre staging a signalizáciu pre útočníkov.
V júni 2026 výskumníci tiež zdôraznili použitie ClickFixu ako mechanizmu doručovania pre Mistic a pripísali túto aktivitu aktérovi hrozby spojenému s ransomvérom, ktorý sa snaží získať počiatočnú oporu a uľahčiť laterálny pohyb naprieč sieťami.
Schopnosti, ktoré robia Mistic veľmi nebezpečným
Zadné vrátka ponúkajú širokú škálu funkcií, ktoré sa bežne spájajú s pokročilým malvérom pre vzdialený prístup, vrátane:
Nahrávanie a sťahovanie súborov, vytváranie priečinkov a presúvanie, premenovanie alebo mazanie súborov.
Spúšťanie škodlivého kódu priamo v pamäti, načítavanie objektových súborov Beacon na rozšírenie funkčnosti, úprava intervalov dotazovania príkazov a ukončenie a vymazanie seba samého s cieľom eliminovať dôkazy.
Oportunistické zacielenie a prepojenia s ransomvérom
Zdá sa, že kampaň sa riadi oportunistickým modelom, a nie len jediným odvetvím. Útočníci údajne ohrozujú širokú škálu organizácií a potom vyhodnocujú, ktoré obete by mohli poskytnúť ziskové príležitosti na predaj iným kyberzločincom.
Výskumníci tiež pozorovali ModeloRAT pri útokoch, ktoré nakoniec viedli k nasadeniu ransomvéru Qilin, čím posilnili prepojenie medzi pôvodnými sprostredkovateľmi prístupu a prevádzkovateľmi ransomvéru.
KongTukeov rozširujúci sa arzenál techník sociálneho inžinierstva
KongTuke prevádzkuje sofistikovaný systém distribúcie návštevnosti (TDS) postavený na napadnutých webových stránkach WordPress. Táto infraštruktúra sa používa na zobrazovanie neustále sa meniacich lákadiel, ktoré presmerujú nič netušiacich návštevníkov na reťazce doručovania malvéru.
Bezpečnostné spoločnosti Rapid7 a ReliaQuest nedávno oznámili, že útočník zmenil taktiku a odosiela správy do Microsoft Teams z podvodných účtov „IT podpory“. Tieto správy spúšťajú reťazec útokov, ktorý vrcholí nasadením ModeloRAT.
Rastúci trend vo vývoji vlastného malvéru
Sofistikovanosť spoločnosti Mistic a podozrenie z účasti Woodgnata na vývoji ModeloRAT poukazujú na vysoko kvalifikovanú skupinu špecializujúcu sa na nenápadné nástroje na vzdialený prístup. Vznik Backdoor.Mistic tiež odráža širší trend v odvetví, v ktorom sa operácie s ransomvérom čoraz viac spoliehajú na malvér vytvorený na mieru, nástroje na exfiltráciu a špecializované nástroje na prístup.
Súčasné dôkazy naznačujú, že Mistic je pravdepodobne produktom spolupráce sprostredkovateľov prístupu s pridruženými spoločnosťami zaoberajúcimi sa ransomvérom, a nie nástrojom vyvinutým priamo samotnou skupinou zaoberajúcou sa ransomvérom.
