Mistic bakdörr
En sofistikerad bakdörr känd som Mistic, även känd som MLTBackdoor, har dykt upp i en våg av misstänkta ekonomiskt motiverade cyberattacker som har varit aktiva sedan april 2026. Skadlig programvara har upptäckts i attacker mot organisationer som är verksamma inom försäkrings-, utbildnings-, informationsteknik- och professionella tjänstesektorer.
Säkerhetsforskare har kopplat operationen till den initiala åtkomstmäklaren (IAB) KongTuke, även känd under flera alias, inklusive 404 TDS, Chaya_002, LandUpdate808, TAG-124 och Woodgnat. Under dessa intrång har Mistic driftsatts tillsammans med ModeloRAT, en Python-baserad fjärråtkomsttrojan som tidigare tillskrivits samma hotaktör.
Innehållsförteckning
Utformad för smygande och långsiktig åtkomst
Mistic utmärker sig genom sin förmåga att fungera helt i minnet utan att skriva filer till disk, vilket avsevärt minskar risken för upptäckt. Skadlig programvara har också en inbyggd kill switch som gör att den kan radera sig själv vid behov. Dessa egenskaper tyder på att operatörerna är fokuserade på att upprätthålla ihållande och hemlig åtkomst till komprometterade miljöer.
För att undvika att dra till sig uppmärksamhet förlitar sig skadlig programvara på DLL-sidladdningstekniker och missbrukar Microsofts legitima säkerhetsverktyg för slutpunkten MpExtMs.exe för att blandas in i normal systemaktivitet.
Utvecklingen av ClickFix-leveranskampanjer
ModeloRAT uppmärksammades först i januari 2026 under utredningar av en variant av ClickFix-kampanjen, känd som CrashFix. I denna operation distribuerade KongTuke-aktörer ett skadligt Google Chrome-tillägg förklätt som en annonsblockerare. Tillägget kraschade avsiktligt offrens webbläsare och lurade dem sedan att utföra skadliga kommandon under förevändning att utföra en säkerhetsskanning.
En annan ClickFix-kampanj använde en annan metod genom att instruera offren att köra kommandon som utförde en DNS-sökning (Domain Name System). DNS-begäran användes sedan för att hämta nästa nyttolast, vilket effektivt förvandlade DNS till en lättviktig staging- och signaleringsmekanism för angriparna.
I juni 2026 lyfte forskare även fram användningen av ClickFix som en leveransmekanism för Mistic, och tillskrev aktiviteten till en ransomware-associerad hotaktör som försökte få ett initialt fotfäste och underlätta lateral förflyttning över nätverk.
Förmågor som gör Mistic mycket farligt
Bakdörren erbjuder en bred uppsättning funktioner som vanligtvis förknippas med avancerad fjärråtkomstprogramvara, inklusive:
Ladda upp och ladda ner filer, skapa mappar och flytta, byta namn på eller ta bort filer.
Exekvera skadlig kod direkt i minnet, ladda Beacon Object Files för att utöka funktionalitet, modifiera kommandoavfrågningsintervall och avsluta och radera sig själv för att eliminera bevis.
Opportunistisk målinriktning och kopplingar till ransomware
Kampanjen verkar följa en opportunistisk modell snarare än att fokusera på en enda bransch. Angripare rapporteras invadera ett brett spektrum av organisationer och utvärderar sedan vilka offer som kan ge lönsamma tillgångsmöjligheter för försäljning till andra cyberbrottslingar.
Forskare har också observerat ModeloRAT i attacker som slutligen resulterade i utplacering av Qilin ransomware, vilket förstärker kopplingen mellan initiala åtkomstmäklare och ransomware-operatörer.
KongTukes expanderande arsenal av sociala ingenjörskonsttekniker
KongTuke driver ett sofistikerat trafikdistributionssystem (TDS) byggt på komprometterade WordPress-webbplatser. Denna infrastruktur används för att presentera ständigt föränderliga lockbete som omdirigerar intet ont anande besökare mot leveranskedjor för skadlig kod.
På senare tid rapporterade säkerhetsföretagen Rapid7 och ReliaQuest att hotbilden har ändrat taktik genom att skicka meddelanden till Microsoft Teams från bedrägliga IT-supportkonton. Dessa meddelanden initierar en attackkedja som kulminerar i driftsättningen av ModeloRAT.
En växande trend inom utveckling av anpassad skadlig programvara
Mistics sofistikerade karaktär och Woodgnats misstänkta inblandning i utvecklingen av ModeloRAT pekar på en mycket skicklig grupp som specialiserar sig på smygande verktyg för fjärråtkomst. Framväxten av Backdoor.Mistic återspeglar också en bredare branschtrend där ransomware-operationer i allt högre grad förlitar sig på specialbyggd skadlig kod, exfiltreringsverktyg och specialiserade åtkomstverktyg.
Nuvarande bevis tyder på att Mistic sannolikt är produkten av åtkomstmäklare som samarbetar med ransomware-dotterbolag snarare än ett verktyg som utvecklats direkt av en ransomware-grupp själv.
