Mistična zadnja vrata
Sofisticirana zadnja vrata, znana kot Mistic, ki jim sledijo tudi kot MLTBackdoor, so se pojavila v valu domnevno finančno motiviranih kibernetskih napadov, ki so aktivni od aprila 2026. Zlonamerna programska oprema je bila odkrita v napadih na organizacije, ki delujejo v sektorjih zavarovalništva, izobraževanja, informacijske tehnologije in profesionalnih storitev.
Varnostni raziskovalci so operacijo povezali z začetnim posrednikom dostopa (IAB) KongTuke, znanim tudi pod več vzdevki, vključno s 404 TDS, Chaya_002, LandUpdate808, TAG-124 in Woodgnat. Med temi vdori je bil Mistic uporabljen skupaj z ModeloRAT, trojancem za oddaljeni dostop, ki temelji na Pythonu in je bil prej pripisan istemu akterju.
Kazalo
Zasnovano za prikritost in dolgoročen dostop
Mistic izstopa zaradi svoje sposobnosti delovanja v celoti v pomnilniku, ne da bi zapisoval datoteke na disk, kar znatno zmanjša možnosti zaznavanja. Zlonamerna programska oprema ima tudi vgrajeno stikalo za uničenje, ki ji omogoča, da se po potrebi izbriše. Te značilnosti kažejo, da so operaterji osredotočeni na ohranjanje trajnega in prikritega dostopa do ogroženih okolij.
Da bi se izognila pritegnitvi pozornosti, se zlonamerna programska oprema zanaša na tehnike stranskega nalaganja DLL-jev, pri čemer zlorablja Microsoftov legitimni pripomoček za varnost končnih točk MpExtMs.exe, da se zlije z običajnimi sistemskimi aktivnostmi.
Razvoj dostavnih kampanj ClickFix
ModeloRAT je prvič pritegnil pozornost januarja 2026 med preiskavami različice kampanje ClickFix, znane kot CrashFix. V tej operaciji so akterji KongTuke distribuirali zlonamerno razširitev za Google Chrome, prikrito kot blokator oglasov. Razširitev je namerno sesula brskalnike žrtev in jih nato pod pretvezo varnostnega pregleda zavedla do izvajanja zlonamernih ukazov.
Druga kampanja ClickFix je uporabila drugačen pristop, tako da je žrtvam naročila, naj izvedejo ukaze, ki so izvedli iskanje v sistemu domenskih imen (DNS). Zahteva DNS je bila nato uporabljena za pridobitev naslednjega koristnega tovora, s čimer se je DNS učinkovito spremenil v lahek mehanizem za pripravo in signalizacijo za napadalce.
Junija 2026 so raziskovalci izpostavili tudi uporabo ClickFixa kot mehanizma za dostavo za Mistic, pri čemer so dejavnost pripisali akterju grožnje, povezanemu z izsiljevalsko programsko opremo, ki poskuša pridobiti začetno oporo in olajšati lateralno gibanje po omrežjih.
Zmožnosti, zaradi katerih je Mistic zelo nevaren
Zadnja vrata ponujajo širok nabor funkcij, ki so običajno povezane z napredno zlonamerno programsko opremo za oddaljeni dostop, vključno z:
Nalaganje in prenašanje datotek, ustvarjanje map ter premikanje, preimenovanje ali brisanje datotek.
Izvajanje zlonamerne kode neposredno v pomnilniku, nalaganje objektnih datotek Beacon za razširitev funkcionalnosti, spreminjanje intervalov anketiranja ukazov ter prekinitev in brisanje samega sebe za odstranitev dokazov.
Oportunistično ciljanje in povezave z izsiljevalsko programsko opremo
Zdi se, da kampanja sledi oportunističnemu modelu in se ne osredotoča le na eno samo panogo. Napadalci naj bi ogrozili širok spekter organizacij in nato ocenili, katere žrtve bi lahko ponudile donosne možnosti dostopa za prodajo drugim kibernetskim kriminalcem.
Raziskovalci so opazili tudi ModeloRAT pri napadih, ki so na koncu privedli do namestitve izsiljevalske programske opreme Qilin, kar je okrepilo povezavo med začetnimi posredniki dostopa in operaterji izsiljevalske programske opreme.
KongTukeov širijoči se arzenal tehnik socialnega inženiringa
KongTuke upravlja sofisticiran sistem za distribucijo prometa (TDS), zgrajen na ogroženih spletnih mestih WordPress. Ta infrastruktura se uporablja za prikazovanje nenehno spreminjajočih se vab, ki nič hudega sluteče obiskovalce preusmerjajo proti verigam dostave zlonamerne programske opreme.
Pred kratkim sta varnostni podjetji Rapid7 in ReliaQuest poročali, da je akter grožnje spremenil taktiko in pošilja sporočila Microsoft Teams iz goljufivih računov »IT-podpore«. Ta sporočila sprožijo verigo napadov, ki doseže vrhunec z namestitvijo ModeloRAT.
Naraščajoči trend razvoja zlonamerne programske opreme po meri
Sofisticiranost Mistica in domnevna vpletenost Woodgnata v razvoj ModeloRAT-a kažeta na visoko usposobljeno skupino, specializirano za prikrita orodja za oddaljeni dostop. Pojav Backdoor.Mistic odraža tudi širši trend v panogi, v kateri se operacije izsiljevalske programske opreme vse bolj zanašajo na posebej izdelano zlonamerno programsko opremo, pripomočke za izsiljevanje in specializirana orodja za dostop.
Trenutni dokazi kažejo, da je Mistic verjetno produkt sodelovanja posrednikov dostopa s podružnicami izsiljevalske programske opreme in ne orodje, ki ga je neposredno razvila skupina izsiljevalske programske opreme.
