Мистик Бекдор
Софистицирани бекдор познат као Мистик, такође праћен као МЛТБекдор, појавио се у таласу сумњивих финансијски мотивисаних сајбер напада који су активни од априла 2026. године. Злонамерни софтвер је откривен у нападима на организације које послују у секторима осигурања, образовања, информационих технологија и професионалних услуга.
Истраживачи безбедности повезали су операцију са почетним брокером приступа (IAB) KongTuke, познатим и под неколико псеудонима, укључујући 404 TDS, Chaya_002, LandUpdate808, TAG-124 и Woodgnat. Током ових упада, Mistic је распоређен заједно са ModeloRAT-ом, тројанцем за даљински приступ заснованим на Пајтону, који је раније приписан истом актеру претње.
Преглед садржаја
Дизајнирано за прикривеност и дугорочни приступ
Мистик се истиче због своје способности да ради у потпуности у меморији без писања датотека на диск, што значајно смањује шансе за откривање. Злонамерни софтвер такође укључује уграђени прекидач за самоизбрисавање који му омогућава да се самоизбрише када је то потребно. Ове карактеристике указују на то да су оператери фокусирани на одржавање сталног и тајног приступа угроженим окружењима.
Да би избегао привлачење пажње, злонамерни софтвер се ослања на технике бочног учитавања DLL-ова, злоупотребљавајући легитимни услужни програм за безбедност крајњих тачака MpExtMs.exe компаније Microsoft да би се уклопио у нормалну активност система.
Еволуција ClickFix кампања испоруке
МоделоРАТ је први пут привукао пажњу у јануару 2026. године током истраге варијанте кампање ClickFix познате као CrashFix. У овој операцији, актери KongTuke-а дистрибуирали су злонамерно проширење за Google Chrome прерушено у блокатор огласа. Проширење је намерно рушило прегледаче жртава, а затим их је преварило да извршавају злонамерне команде под маском безбедносног скенирања.
Друга ClickFix кампања користила је другачији приступ тако што је жртвама налагала да извршавају команде које су вршиле претрагу у систему имена домена (DNS). DNS захтев је затим коришћен за преузимање следећег корисног терета, ефикасно претварајући DNS у лаган механизам за припрему и сигнализацију за нападаче.
У јуну 2026. године, истраживачи су такође истакли употребу ClickFix-а као механизма испоруке за Mistic, приписујући активност актеру претње повезаном са ransomware-ом који покушава да стекне почетно упориште и олакша латерално кретање кроз мреже.
Способности које чине Мистик изузетно опасним
Бакдоор нуди широк скуп функција које се обично повезују са напредним злонамерним софтвером за даљински приступ, укључујући:
Отпремање и преузимање датотека, креирање фасцикли и премештање, преименовање или брисање датотека.
Извршавање злонамерног кода директно у меморији, учитавање Beacon Object Files ради проширења функционалности, модификовање интервала испитивања команди и прекид и брисање самог себе ради елиминисања доказа.
Опортунистичко циљање и везе са рансомвером
Чини се да кампања прати опортунистички модел, а не да се фокусира на једну индустрију. Нападачи наводно угрожавају широк спектар организација, а затим процењују које жртве би могле да обезбеде профитабилне могућности приступа за продају другим сајбер криминалцима.
Истраживачи су такође приметили ModeloRAT у нападима који су на крају резултирали распоређивањем Qilin ransomware-а, ојачавајући везу између почетних брокера приступа и оператера ransomware-а.
KongTuke-ов растући арсенал техника друштвеног инжењеринга
KongTuke управља софистицираним системом за дистрибуцију саобраћаја (TDS) изграђеним на компромитованим WordPress веб-сајтовима. Ова инфраструктура се користи за представљање континуирано променљивих мамаца који преусмеравају неслутеће посетиоце ка ланцима испоруке злонамерног софтвера.
Недавно су безбедносне компаније Rapid7 и ReliaQuest известиле да је претња променила тактику слањем порука услуге Microsoft Teams са лажних налога „ИТ подршке“. Ове поруке покрећу ланац напада који кулминира применом ModeloRAT-а.
Растући тренд у развоју прилагођеног злонамерног софтвера
Софистицираност Мистика и сумња на учешће Вудгната у развоју МоделоРАТ-а указују на висококвалификовану групу специјализовану за прикривене алате за даљински приступ. Појава Backdoor.Mistic-а такође одражава шири тренд у индустрији у којем операције рансомвера све више ослањају на прилагођени малвер, услужне програме за ексфилтрацију и специјализоване алате за приступ.
Тренутни докази указују на то да је Мистик вероватно производ сарадње брокера приступа са партнерима ransomware-а, а не алат који је директно развила сама ransomware група.
