Mistic Backdoor

Nga Mezo në Dyer të pasme

Përkthe në:

Një program i sofistikuar i njohur si Mistic, i gjurmuar edhe si MLTBackdoor, është shfaqur në një valë sulmesh kibernetike të dyshuara për motive financiare që kanë qenë aktive që nga prilli i vitit 2026. Malware është zbuluar në sulme kundër organizatave që operojnë në sektorët e sigurimeve, arsimit, teknologjisë së informacionit dhe shërbimeve profesionale.

Studiuesit e sigurisë e kanë lidhur operacionin me ndërmjetësin fillestar të aksesit (IAB) KongTuke, i njohur gjithashtu me disa pseudonime, duke përfshirë 404 TDS, Chaya_002, LandUpdate808, TAG-124 dhe Woodgnat. Gjatë këtyre ndërhyrjeve, Mistic është vendosur së bashku me ModeloRAT, një trojan me akses të largët me bazë Python, i cili më parë i atribuohej të njëjtit aktor kërcënimi.

Tabela e Përmbajtjes

I projektuar për akses të fshehtë dhe afatgjatë

Mistic dallohet për shkak të aftësisë së tij për të vepruar tërësisht në memorie pa shkruar skedarë në disk, duke zvogëluar ndjeshëm shanset e zbulimit. Malware gjithashtu përfshin një buton të integruar që i lejon atij të fshijë veten kur është e nevojshme. Këto karakteristika sugjerojnë që operatorët janë të përqendruar në ruajtjen e aksesit të vazhdueshëm dhe të fshehtë në mjedise të kompromentuara.

Për të shmangur tërheqjen e vëmendjes, programi keqdashës mbështetet në teknikat e ngarkimit anësor të DLL-së, duke abuzuar me programin legjitim të sigurisë së pikës fundore të Microsoft-it, MpExtMs.exe, për t'u përzier me aktivitetin normal të sistemit.

Evolucioni i Fushatave të Dorëzimit ClickFix

ModeloRAT tërhoqi vëmendjen për herë të parë në janar 2026 gjatë hetimeve mbi një variant të fushatës ClickFix të njohur si CrashFix. Në këtë operacion, aktorët e KongTuke shpërndanë një zgjerim keqdashës të Google Chrome të maskuar si bllokues reklamash. Zgjerimi qëllimisht bllokoi shfletuesit e viktimave dhe më pas i mashtroi ata që të ekzekutonin komanda keqdashëse nën maskën e kryerjes së një skanimi sigurie.

Një tjetër fushatë ClickFix përdori një qasje të ndryshme duke i udhëzuar viktimat të ekzekutonin komanda që kryenin një kërkim në Sistemin e Emrave të Domaineve (DNS). Kërkesa DNS u përdor më pas për të rikuperuar ngarkesën e fazës tjetër, duke e shndërruar në mënyrë efektive DNS-in në një mekanizëm të lehtë skematik dhe sinjalizimi për sulmuesit.

Në qershor 2026, studiuesit theksuan gjithashtu përdorimin e ClickFix si një mekanizëm shpërndarjeje për Mistic, duke ia atribuar aktivitetin një aktori kërcënues të lidhur me ransomware që përpiqej të fitonte një pikëmbështetje fillestare dhe të lehtësonte lëvizjen anësore nëpër rrjete.

Aftësitë që e bëjnë Mistic shumë të rrezikshme

"Backdoor" ofron një gamë të gjerë funksionesh që zakonisht shoqërohen me programe keqdashëse të avancuara me akses në distancë, duke përfshirë:

Ngarkimi dhe shkarkimi i skedarëve, krijimi i dosjeve dhe zhvendosja, riemërtimi ose fshirja e skedarëve.
Ekzekutimi i kodit keqdashës direkt në memorie, ngarkimi i skedarëve të objekteve Beacon për të zgjeruar funksionalitetin, modifikimi i intervaleve të sondazhit të komandave dhe ndërprerja dhe fshirja e vetvetes për të eliminuar provat.

Lidhjet e Targetimit Oportunist dhe Ransomware-it

Fushata duket se ndjek një model oportunist në vend që të përqendrohet në një industri të vetme. Sulmuesit thuhet se po kompromentojnë një gamë të gjerë organizatash dhe më pas po vlerësojnë se cilat viktima mund të ofrojnë mundësi fitimprurëse aksesi për shitje te kriminelë të tjerë kibernetikë.

Studiuesit kanë vëzhguar gjithashtu ModeloRAT në sulme që përfundimisht rezultuan në vendosjen e ransomware-it Qilin, duke përforcuar lidhjen midis ndërmjetësve fillestarë të aksesit dhe operatorëve të ransomware-it.

Arsenali në Zgjerim i Teknikave të Inxhinierisë Sociale të KongTuke-ut

KongTuke operon një sistem të sofistikuar shpërndarjeje trafiku (TDS) të ndërtuar në faqet e internetit të kompromentuara të WordPress. Kjo infrastrukturë përdoret për të paraqitur karremra që ndryshojnë vazhdimisht dhe që i ridrejtojnë vizitorët e pasigurt drejt zinxhirëve të shpërndarjes së programeve keqdashëse.

Kohët e fundit, kompanitë e sigurisë Rapid7 dhe ReliaQuest raportuan se aktori kërcënues ka ndryshuar taktikat duke dërguar mesazhe te Microsoft Teams nga llogari mashtruese të 'IT Support'. Këto mesazhe fillojnë një zinxhir sulmesh që kulmon me vendosjen e ModeloRAT.

Një trend në rritje në zhvillimin e programeve keqdashëse të personalizuara

Sofistikimi i Mistic dhe përfshirja e dyshuar e Woodgnat në zhvillimin e ModeloRAT tregojnë për një grup shumë të aftë të specializuar në mjete të fshehta për akses në distancë. Shfaqja e Backdoor.Mistic pasqyron gjithashtu një trend më të gjerë të industrisë në të cilën operacionet e ransomware mbështeten gjithnjë e më shumë në malware të krijuar me porosi, shërbime për nxjerrje jashtë loje dhe mjete të specializuara për akses.

Provat aktuale sugjerojnë se Mistic ka të ngjarë të jetë produkt i ndërmjetësve të aksesit që bashkëpunojnë me bashkëpunëtorët e ransomware-it dhe jo një mjet i zhvilluar direkt nga vetë një grup ransomware-i.

Deklarimi për falimentimin e procesorit të pagesave të EnigmaSoft Digital River GmbH nuk ndikon në mbrojtjen kundër malware të klientëve të SpyHunter

Kërko

Ndrysho Rajonin