Mistik Arka Kapı
Nisan 2026'dan beri aktif olan ve finansal motivasyonlu olduğundan şüphelenilen siber saldırılar dalgasında, MLTBackdoor olarak da bilinen Mistic adlı gelişmiş bir arka kapı yazılımı ortaya çıktı. Bu kötü amaçlı yazılım, sigorta, eğitim, bilişim teknolojisi ve profesyonel hizmetler sektörlerinde faaliyet gösteren kuruluşlara yönelik saldırılarda tespit edildi.
Güvenlik araştırmacıları, operasyonu, 404 TDS, Chaya_002, LandUpdate808, TAG-124 ve Woodgnat gibi çeşitli takma adlarla da bilinen ilk erişim aracısı (IAB) KongTuke ile ilişkilendirdi. Bu saldırılar sırasında, Mistic, daha önce aynı tehdit aktörüne atfedilen Python tabanlı bir uzaktan erişim truva atı olan ModeloRAT ile birlikte konuşlandırıldı.
İçindekiler
Gizlilik ve Uzun Süreli Erişim İçin Tasarlandı
Mistic, dosyaları diske yazmadan tamamen bellekte çalışabilme özelliğiyle öne çıkıyor ve bu da tespit edilme olasılığını önemli ölçüde azaltıyor. Kötü amaçlı yazılım ayrıca, gerektiğinde kendini silmesine olanak tanıyan yerleşik bir kapatma anahtarı da içeriyor. Bu özellikler, operatörlerin ele geçirilen ortamlara kalıcı ve gizli erişim sağlamaya odaklandığını gösteriyor.
Dikkat çekmemek için, kötü amaçlı yazılım, Microsoft'un yasal uç nokta güvenlik aracı MpExtMs.exe'yi kötüye kullanarak normal sistem etkinliğine karışmak suretiyle DLL yan yükleme tekniklerine başvuruyor.
ClickFix Teslimat Kampanyalarının Evrimi
ModeloRAT, ilk olarak Ocak 2026'da ClickFix kampanyasının CrashFix olarak bilinen bir varyantına yönelik soruşturmalar sırasında dikkat çekti. Bu operasyonda, KongTuke aktörleri, reklam engelleyici kılığında kötü amaçlı bir Google Chrome uzantısı dağıttı. Uzantı, kurbanların tarayıcılarını kasıtlı olarak çökerterek, güvenlik taraması yapıyormuş gibi yaparak kötü amaçlı komutları çalıştırmalarına neden oldu.
ClickFix'in bir başka kampanyası ise farklı bir yaklaşım kullanarak kurbanlara Alan Adı Sistemi (DNS) sorgusu gerçekleştiren komutlar çalıştırmalarını söyledi. DNS isteği daha sonra bir sonraki aşama zararlı yazılımı almak için kullanıldı ve böylece DNS, saldırganlar için hafif bir hazırlık ve sinyal mekanizmasına dönüştürüldü.
Haziran 2026'da araştırmacılar, Mistic için ClickFix'in bir dağıtım mekanizması olarak kullanıldığını da vurgulayarak, bu faaliyeti, ilk dayanak noktasını elde etmeye ve ağlar arasında yatay hareketi kolaylaştırmaya çalışan fidye yazılımıyla ilişkili bir tehdit aktörüne bağladılar.
Mistic’i Son Derece Tehlikeli Kılan Yetenekler
Bu arka kapı, gelişmiş uzaktan erişim kötü amaçlı yazılımlarıyla yaygın olarak ilişkilendirilen geniş bir işlev yelpazesi sunar; bunlar arasında şunlar yer alır:
Dosya yükleme ve indirme, klasör oluşturma, dosyaları taşıma, yeniden adlandırma veya silme.
Kötü amaçlı kodu doğrudan bellekte çalıştırmak, işlevselliği genişletmek için Beacon Nesne Dosyalarını yüklemek, komut sorgulama aralıklarını değiştirmek ve kanıtları ortadan kaldırmak için kendini sonlandırıp silmek.
Fırsatçı Hedefleme ve Fidye Yazılımı Bağlantıları
Kampanya, tek bir sektöre odaklanmaktan ziyade fırsatçı bir modeli izliyor gibi görünüyor. Saldırganların çok çeşitli kuruluşları ele geçirdiği ve ardından hangi kurbanların diğer siber suçlulara satılmak üzere karlı erişim fırsatları sağlayabileceğini değerlendirdiği bildiriliyor.
Araştırmacılar ayrıca, nihayetinde Qilin fidye yazılımının yayılmasıyla sonuçlanan saldırılarda ModeloRAT'ı gözlemlemiş ve bu da ilk erişim aracıları ile fidye yazılımı operatörleri arasındaki bağlantıyı güçlendirmiştir.
KongTuke’un Genişleyen Sosyal Mühendislik Teknikleri Cephaneliği
KongTuke, ele geçirilmiş WordPress web siteleri üzerine kurulu gelişmiş bir trafik dağıtım sistemi (TDS) işletmektedir. Bu altyapı, şüphelenmeyen ziyaretçileri kötü amaçlı yazılım dağıtım zincirlerine yönlendiren sürekli değişen yemler sunmak için kullanılır.
Son zamanlarda, güvenlik şirketleri Rapid7 ve ReliaQuest, tehdit aktörünün taktik değiştirerek sahte 'BT Destek' hesaplarından Microsoft Teams mesajları gönderdiğini bildirdi. Bu mesajlar, ModeloRAT'ın devreye alınmasıyla sonuçlanan bir saldırı zincirini başlatıyor.
Özel Kötü Amaçlı Yazılım Geliştirmede Artan Bir Trend
Mistic'in gelişmişliği ve Woodgnat'ın ModeloRAT'ın geliştirilmesindeki şüpheli rolü, gizli uzaktan erişim araçları konusunda uzmanlaşmış son derece yetenekli bir gruba işaret etmektedir. Backdoor.Mistic'in ortaya çıkışı ayrıca, fidye yazılımı operasyonlarının giderek özel olarak geliştirilmiş kötü amaçlı yazılımlara, veri sızdırma yardımcı programlarına ve özel erişim araçlarına dayandığı daha geniş bir endüstri trendini de yansıtmaktadır.
Mevcut kanıtlar, Mistic'in doğrudan bir fidye yazılımı grubu tarafından geliştirilen bir araçtan ziyade, erişim aracıları ile fidye yazılımı bağlantılı grupların iş birliğiyle ortaya çıkmış bir ürün olduğunu düşündürmektedir.
