Містик Бекдор
Складний бекдор, відомий як Mistic, також відстежуваний як MLTBackdoor, з'явився в хвилі підозрюваних фінансово мотивованих кібератак, які тривають з квітня 2026 року. Шкідливе програмне забезпечення було виявлено в атаках на організації, що працюють у секторах страхування, освіти, інформаційних технологій та професійних послуг.
Дослідники з безпеки пов'язали цю операцію з початковим брокером доступу (IAB) KongTuke, також відомим під кількома псевдонімами, включаючи 404 TDS, Chaya_002, LandUpdate808, TAG-124 та Woodgnat. Під час цих вторгнень Mistic було розгорнуто разом із ModeloRAT, трояном віддаленого доступу на основі Python, який раніше приписували тому ж порушнику.
Зміст
Розроблено для прихованого та довгострокового доступу
Mistic вирізняється своєю здатністю працювати повністю в пам'яті, не записуючи файли на диск, що значно знижує ймовірність виявлення. Шкідливе програмне забезпечення також має вбудований аварійний вимикач, який дозволяє йому видаляти дані за потреби. Ці характеристики свідчать про те, що оператори зосереджені на підтримці постійного та прихованого доступу до скомпрометованих середовищ.
Щоб не привертати уваги, шкідливе програмне забезпечення використовує методи непрямого завантаження DLL, зловживаючи легітимною утилітою захисту кінцевих точок Microsoft MpExtMs.exe для інтеграції зі звичайною системною активністю.
Еволюція кампаній доставки ClickFix
ModeloRAT вперше привернув увагу в січні 2026 року під час розслідування варіанту кампанії ClickFix, відомого як CrashFix. У цій операції учасники KongTuke розповсюджували шкідливе розширення для Google Chrome, замасковане під блокувальник реклами. Розширення навмисно аварійно завершувало роботу браузерів жертв, а потім обманом змушувало їх виконувати шкідливі команди під виглядом перевірки безпеки.
В іншій кампанії ClickFix використовувався інший підхід, який доручав жертвам виконувати команди, що виконували пошук у системі доменних імен (DNS). DNS-запит потім використовувався для отримання наступного корисного навантаження, що фактично перетворювало DNS на легкий механізм проміжної обробки та сигналізації для зловмисників.
У червні 2026 року дослідники також звернули увагу на використання ClickFix як механізму доставки для Mistic, приписавши цю діяльність зловмиснику, пов'язаному з програмою-вимагачем, який намагався отримати початковий плацдарм та сприяти горизонтальному переміщенню між мережами.
Здібності, які роблять Містика надзвичайно небезпечним
Бекдор пропонує широкий набір функцій, які зазвичай асоціюються з розширеним шкідливим програмним забезпеченням для віддаленого доступу, зокрема:
Завантаження та вивантаження файлів, створення папок, а також переміщення, перейменування або видалення файлів.
Виконання шкідливого коду безпосередньо в пам'яті, завантаження файлів об'єктів Beacon для розширення функціональності, зміна інтервалів опитування команд, а також завершення та видалення себе для знищення доказів.
Опортуністичне таргетування та зв’язки з програмами-вимагачами
Схоже, що кампанія дотримується опортуністичної моделі, а не зосереджена на одній галузі. Повідомляється, що зловмисники компрометують широкий спектр організацій, а потім оцінюють, які з жертв можуть надати вигідні можливості доступу для продажу іншим кіберзлочинцям.
Дослідники також спостерігали ModeloRAT в атаках, які зрештою призвели до розгортання програми-вимагача Qilin, що зміцнило зв'язок між початковими брокерами доступу та операторами програм-вимагачів.
Розширений арсенал методів соціальної інженерії KongTuke
KongTuke використовує складну систему розподілу трафіку (TDS), побудовану на скомпрометованих веб-сайтах WordPress. Ця інфраструктура використовується для постійно змінюваних приманок, які перенаправляють нічого не підозрюючих відвідувачів до ланцюгів доставки шкідливого програмного забезпечення.
Зовсім недавно компанії з безпеки Rapid7 та ReliaQuest повідомили, що зловмисник змінив тактику, надсилаючи повідомлення Microsoft Teams із шахрайських облікових записів «ІТ-підтримки». Ці повідомлення запускають ланцюг атак, який завершується розгортанням ModeloRAT.
Зростаюча тенденція розробки шкідливого програмного забезпечення на замовлення
Витонченість Mistic та підозрювана причетність Woodgnat до розробки ModeloRAT вказують на висококваліфіковану групу, що спеціалізується на прихованих інструментах віддаленого доступу. Поява Backdoor.Mistic також відображає ширшу галузеву тенденцію, в якій операції з програмами-вимагачами все більше покладаються на спеціально створене шкідливе програмне забезпечення, утиліти для вилучення вірусів та спеціалізовані інструменти доступу.
Поточні дані свідчать про те, що Mistic, ймовірно, є продуктом співпраці брокерів доступу з афілійованими особами з програм-вимагачів, а не інструментом, розробленим безпосередньо групою вимагачів.
