Mistic Backdoor
Isang sopistikadong backdoor na kilala bilang Mistic, na kilala rin bilang MLTBackdoor, ang lumitaw sa isang serye ng mga pinaghihinalaang cyberattack na may motibasyon sa pananalapi na aktibo simula noong Abril 2026. Ang malware ay natukoy sa mga pag-atake laban sa mga organisasyong nagpapatakbo sa sektor ng seguro, edukasyon, teknolohiya ng impormasyon, at mga propesyonal na serbisyo.
Iniugnay ng mga mananaliksik sa seguridad ang operasyon sa initial access broker (IAB) na KongTuke, na kilala rin sa ilang mga alyas, kabilang ang 404 TDS, Chaya_002, LandUpdate808, TAG-124, at Woodgnat. Sa mga panghihimasok na ito, ang Mistic ay na-deploy kasama ng ModeloRAT, isang Python-based remote access trojan na dating iniuugnay sa parehong threat actor.
Talaan ng mga Nilalaman
Dinisenyo para sa Patago at Pangmatagalang Pag-access
Namumukod-tangi ang Mistic dahil sa kakayahan nitong gumana nang buo sa memorya nang hindi nagsusulat ng mga file sa disk, na lubos na binabawasan ang posibilidad na matuklasan. Mayroon ding built-in na kill switch ang malware na nagbibigay-daan dito na burahin ang sarili nito kung kinakailangan. Ipinahihiwatig ng mga katangiang ito na ang mga operator ay nakatuon sa pagpapanatili ng patuloy at palihim na pag-access sa mga nakompromisong kapaligiran.
Upang maiwasan ang pag-akit ng atensyon, ang malware ay umaasa sa mga pamamaraan ng side-loading ng DLL, na inaabuso ang lehitimong endpoint security utility ng Microsoft na MpExtMs.exe upang makihalubilo sa normal na aktibidad ng system.
Ang Ebolusyon ng mga Kampanya sa Paghahatid ng ClickFix
Unang nakakuha ng atensyon ang ModeloRAT noong Enero 2026 habang isinasagawa ang mga imbestigasyon sa isang variant ng kampanyang ClickFix na kilala bilang CrashFix. Sa operasyong ito, nagpakalat ang mga aktor ng KongTuke ng isang malisyosong extension ng Google Chrome na nagbalatkayo bilang isang ad blocker. Sinadya ng extension na i-crash ang mga browser ng mga biktima at pagkatapos ay nilinlang sila na magsagawa ng mga malisyosong utos sa ilalim ng pagkukunwari ng pagsasagawa ng isang security scan.
Isa pang kampanya ng ClickFix ang gumamit ng ibang pamamaraan sa pamamagitan ng pag-uutos sa mga biktima na magsagawa ng mga utos na nagsasagawa ng paghahanap ng Domain Name System (DNS). Ang kahilingan ng DNS ay ginamit upang makuha ang susunod na yugto ng payload, na epektibong ginagawang isang magaan na mekanismo ng pag-staging at pagbibigay ng senyas ang DNS para sa mga umaatake.
Noong Hunyo 2026, itinampok din ng mga mananaliksik ang paggamit ng ClickFix bilang mekanismo ng paghahatid para sa Mistic, na iniuugnay ang aktibidad sa isang threat actor na nauugnay sa ransomware na nagtatangkang makakuha ng panimulang posisyon at mapadali ang lateral movement sa mga network.
Mga Kakayahang Nagpapapanganib sa Mistic
Ang backdoor ay nag-aalok ng malawak na hanay ng mga tungkulin na karaniwang nauugnay sa advanced remote access malware, kabilang ang:
Pag-upload at pag-download ng mga file, paggawa ng mga folder, at paglipat, pagpapalit ng pangalan, o pagtanggal ng mga file.
Direktang pagpapatupad ng malisyosong code sa memorya, paglo-load ng Beacon Object Files upang mapalawak ang functionality, pagbabago ng mga pagitan ng command polling, at pagtatapos at pagbura ng sarili nito upang maalis ang ebidensya.
Mga Koneksyon sa Oportunistikong Pag-target at Ransomware
Tila sinusunod ng kampanya ang isang oportunistikong modelo sa halip na tumuon sa iisang industriya. Iniulat na kinokompromiso ng mga umaatake ang iba't ibang organisasyon at pagkatapos ay sinusuri kung aling mga biktima ang maaaring magbigay ng mga kumikitang pagkakataon sa pag-access na maibebenta sa iba pang mga cybercriminal.
Naobserbahan din ng mga mananaliksik ang ModeloRAT sa mga pag-atake na nagresulta sa pag-deploy ng Qilin ransomware, na nagpapatibay sa koneksyon sa pagitan ng mga initial access broker at mga operator ng ransomware.
Lumalawak na Arsenal ng mga Teknik sa Social Engineering ni KongTuke
Nagpapatakbo ang KongTuke ng isang sopistikadong sistema ng pamamahagi ng trapiko (TDS) na binuo sa mga nakompromisong website ng WordPress. Ginagamit ang imprastrakturang ito upang magpakita ng patuloy na nagbabagong mga pang-akit na nagre-redirect ng mga walang kamalay-malay na bisita patungo sa mga kadena ng paghahatid ng malware.
Kamakailan lamang, iniulat ng mga kompanya ng seguridad na Rapid7 at ReliaQuest na binago ng aktor ng banta ang mga taktika sa pamamagitan ng pagpapadala ng mga mensahe sa Microsoft Teams mula sa mga mapanlinlang na account ng 'IT Support'. Ang mga mensaheng ito ay nagsisimula ng isang kadena ng pag-atake na humahantong sa pag-deploy ng ModeloRAT.
Isang Lumalagong Trend sa Pag-develop ng Custom Malware
Ang sopistikasyon ng Mistic at ang pinaghihinalaang pagkakasangkot ng Woodgnat sa pagbuo ng ModeloRAT ay tumutukoy sa isang lubos na bihasang grupo na dalubhasa sa mga palihim na tool sa malayuang pag-access. Ang paglitaw ng Backdoor.Mistic ay sumasalamin din sa isang mas malawak na trend sa industriya kung saan ang mga operasyon ng ransomware ay lalong umaasa sa mga custom-built na malware, mga exfiltration utilities, at mga espesyalisadong tool sa pag-access.
Ipinahihiwatig ng kasalukuyang ebidensiya na ang Mistic ay malamang na produkto ng mga access broker na nakikipagtulungan sa mga kaakibat ng ransomware sa halip na isang tool na direktang binuo ng isang grupo ng ransomware mismo.
