Cửa sau huyền bí
Một loại phần mềm độc hại tinh vi có tên Mistic, cũng được theo dõi với tên MLTBackdoor, đã xuất hiện trong làn sóng các cuộc tấn công mạng bị nghi ngờ có động cơ tài chính, hoạt động từ tháng 4 năm 2026. Phần mềm độc hại này đã được phát hiện trong các cuộc tấn công nhắm vào các tổ chức hoạt động trong lĩnh vực bảo hiểm, giáo dục, công nghệ thông tin và dịch vụ chuyên nghiệp.
Các nhà nghiên cứu bảo mật đã liên kết hoạt động này với phần mềm môi giới truy cập ban đầu (IAB) KongTuke, còn được biết đến với nhiều bí danh khác nhau, bao gồm 404 TDS, Chaya_002, LandUpdate808, TAG-124 và Woodgnat. Trong các cuộc xâm nhập này, Mistic đã được triển khai cùng với ModeloRAT, một phần mềm độc hại truy cập từ xa dựa trên Python mà trước đây cũng được cho là do cùng một nhóm tội phạm gây ra.
Mục lục
Được thiết kế để hoạt động bí mật và truy cập lâu dài.
Mistic nổi bật nhờ khả năng hoạt động hoàn toàn trong bộ nhớ mà không cần ghi tệp vào ổ đĩa, giúp giảm đáng kể khả năng bị phát hiện. Phần mềm độc hại này cũng tích hợp một công tắc tắt tự động cho phép nó tự xóa khi cần thiết. Những đặc điểm này cho thấy những kẻ điều hành đang tập trung vào việc duy trì quyền truy cập bí mật và liên tục vào các môi trường bị xâm nhập.
Để tránh thu hút sự chú ý, phần mềm độc hại dựa vào kỹ thuật tải DLL ngầm, lợi dụng tiện ích bảo mật điểm cuối hợp pháp của Microsoft là MpExtMs.exe để hòa nhập vào hoạt động hệ thống bình thường.
Sự phát triển của các chiến dịch phân phối ClickFix
ModeloRAT lần đầu tiên thu hút sự chú ý vào tháng 1 năm 2026 trong quá trình điều tra một biến thể của chiến dịch ClickFix có tên là CrashFix. Trong chiến dịch này, các tác nhân KongTuke đã phát tán một tiện ích mở rộng độc hại cho Google Chrome được ngụy trang dưới dạng trình chặn quảng cáo. Tiện ích mở rộng này cố tình làm sập trình duyệt của nạn nhân và sau đó lừa họ thực hiện các lệnh độc hại dưới vỏ bọc thực hiện quét bảo mật.
Một chiến dịch ClickFix khác sử dụng phương pháp khác bằng cách hướng dẫn nạn nhân thực hiện các lệnh tra cứu Hệ thống Tên miền (DNS). Yêu cầu DNS sau đó được sử dụng để truy xuất tải trọng giai đoạn tiếp theo, biến DNS thành một cơ chế dàn dựng và báo hiệu đơn giản cho kẻ tấn công.
Vào tháng 6 năm 2026, các nhà nghiên cứu cũng nhấn mạnh việc sử dụng ClickFix như một cơ chế phân phối cho Mistic, cho rằng hoạt động này thuộc về một tác nhân đe dọa liên quan đến mã độc tống tiền đang cố gắng giành được chỗ đứng ban đầu và tạo điều kiện cho việc di chuyển ngang qua các mạng.
Những khả năng khiến Mistic trở nên cực kỳ nguy hiểm
Cửa hậu này cung cấp một loạt các chức năng thường thấy ở các phần mềm độc hại truy cập từ xa tiên tiến, bao gồm:
Tải lên và tải xuống tập tin, tạo thư mục, di chuyển, đổi tên hoặc xóa tập tin.
Thực thi mã độc trực tiếp trong bộ nhớ, tải các tệp đối tượng Beacon để mở rộng chức năng, sửa đổi khoảng thời gian thăm dò lệnh, và tự chấm dứt và xóa chính nó để loại bỏ bằng chứng.
Tấn công cơ hội và mối liên hệ với phần mềm tống tiền
Chiến dịch này dường như tuân theo mô hình cơ hội hơn là tập trung vào một ngành công nghiệp duy nhất. Các tin tặc được cho là đang xâm nhập vào nhiều tổ chức khác nhau và sau đó đánh giá xem nạn nhân nào có thể cung cấp cơ hội truy cập sinh lợi để bán cho các tội phạm mạng khác.
Các nhà nghiên cứu cũng đã quan sát thấy ModeloRAT trong các cuộc tấn công dẫn đến việc triển khai phần mềm tống tiền Qilin, củng cố mối liên hệ giữa các nhà môi giới truy cập ban đầu và những kẻ điều hành phần mềm tống tiền.
Kho vũ khí kỹ thuật xã hội ngày càng mở rộng của KongTuke
KongTuke vận hành một hệ thống phân phối lưu lượng truy cập (TDS) tinh vi được xây dựng trên các trang web WordPress bị xâm nhập. Cơ sở hạ tầng này được sử dụng để liên tục hiển thị các mồi nhử thay đổi nhằm chuyển hướng những người truy cập không nghi ngờ vào các chuỗi phát tán phần mềm độc hại.
Gần đây, các công ty bảo mật Rapid7 và ReliaQuest báo cáo rằng kẻ tấn công đã thay đổi chiến thuật bằng cách gửi tin nhắn Microsoft Teams từ các tài khoản "Hỗ trợ CNTT" giả mạo. Những tin nhắn này khởi đầu một chuỗi tấn công dẫn đến việc triển khai ModeloRAT.
Xu hướng ngày càng tăng trong phát triển phần mềm độc hại tùy chỉnh
Sự tinh vi của Mistic và nghi ngờ về sự tham gia của Woodgnat trong việc phát triển ModeloRAT cho thấy đây là một nhóm chuyên gia có tay nghề cao, chuyên về các công cụ truy cập từ xa lén lút. Sự xuất hiện của Backdoor.Mistic cũng phản ánh một xu hướng rộng hơn trong ngành công nghiệp, trong đó các hoạt động tấn công mã độc tống tiền ngày càng dựa vào phần mềm độc hại được xây dựng tùy chỉnh, các tiện ích trích xuất dữ liệu và các công cụ truy cập chuyên dụng.
Các bằng chứng hiện tại cho thấy Mistic có khả năng là sản phẩm của các công ty môi giới truy cập hợp tác với các chi nhánh của nhóm ransomware hơn là một công cụ được phát triển trực tiếp bởi chính một nhóm ransomware.
