Mistic Backdoor

一种名为 Mistic（也被称为 MLTBackdoor）的复杂后门程序，自 2026 年 4 月以来，在一系列疑似以经济利益为目的的网络攻击中出现。该恶意软件已被检测到在针对保险、教育、信息技术和专业服务等行业的组织的攻击中。

安全研究人员已将此次攻击行动与初始访问代理 (IAB) KongTuke 联系起来，KongTuke 也被称为 KongTuke，其别名包括 404 TDS、Chaya_002、LandUpdate808、TAG-124 和 Woodgnat。在这些入侵事件中，Mistic 与 ModeloRAT 一同部署。ModeloRAT 是一款基于 Python 的远程访问木马，此前已被认定为同一威胁组织所为。

专为隐蔽性和长期访问而设计

Mistic 的独特之处在于它能够完全在内存中运行，无需将文件写入磁盘，从而显著降低了被检测到的几率。该恶意软件还内置了自毁开关，可在必要时自我清除。这些特性表明，攻击者致力于对受感染的环境保持持续且隐蔽的访问。

为了避免引起注意，该恶意软件利用 DLL 侧加载技术，滥用微软合法的终端安全实用程序 MpExtMs.exe 来融入正常的系统活动。

ClickFix投放广告系列的演变

ModeloRAT 最早于 2026 年 1 月引起关注，当时正值对 ClickFix 变种 CrashFix 的调查期间。在该行动中，KongTuke 组织散布了一个伪装成广告拦截器的恶意 Google Chrome 扩展程序。该扩展程序会故意导致受害者的浏览器崩溃，然后以执行安全扫描为幌子，诱骗他们执行恶意命令。

ClickFix 的另一次攻击活动采用了不同的方法，它指示受害者执行执行域名系统 (DNS) 查询的命令。然后，攻击者利用 DNS 请求检索下一阶段的有效载荷，从而有效地将 DNS 变成了一种轻量级的中转和信令机制。

2026 年 6 月，研究人员还强调了 ClickFix 作为 Mistic 的传播机制，并将此活动归因于与勒索软件相关的威胁行为者试图获得初始立足点并促进跨网络横向移动。

使神秘生物极具危险性的能力

该后门提供了一系列通常与高级远程访问恶意软件相关的功能，包括：

上传和下载文件、创建文件夹以及移动、重命名或删除文件。
直接在内存中执行恶意代码，加载 Beacon 对象文件以扩展功能，修改命令轮询间隔，并终止和删除自身以消除证据。

机会主义攻击与勒索软件关联

此次攻击活动似乎遵循机会主义模式，而非专注于单一行业。据报道，攻击者会入侵各种组织机构，然后评估哪些受害者能够提供有利可图的访问权限，以便出售给其他网络犯罪分子。

研究人员还观察到 ModeloRAT 出现在最终导致 Qilin 勒索软件部署的攻击中，这进一步证实了初始访问代理和勒索软件运营商之间的联系。

KongTuke不断扩展的社会工程技术库

KongTuke运营着一套基于被入侵的WordPress网站构建的复杂流量分发系统（TDS）。该系统利用不断变化诱饵，将毫无戒心的访问者重定向到恶意软件传播链。

最近，安全公司 Rapid7 和 ReliaQuest 报告称，攻击者已改变策略，开始使用虚假的“IT 支持”账户发送 Microsoft Teams 消息。这些消息会引发一系列攻击，最终导致 ModeloRAT 的部署。

定制恶意软件开发的一个日益增长的趋势

Mistic 的复杂性以及 Woodgnat 涉嫌参与 ModeloRAT 的开发，都表明这是一个技术精湛、专门开发隐蔽远程访问工具的组织。Backdoor.Mistic 的出现也反映了更广泛的行业趋势，即勒索软件攻击越来越依赖于定制恶意软件、数据窃取工具和专用访问工具。

现有证据表明，Mistic 很可能是访问代理与勒索软件关联组织合作的产物，而不是勒索软件组织本身直接开发的工具。