Mistic Backdoor

一種名為 Mistic（也被稱為 MLTBackdoor）的複雜後門程序，自 2026 年 4 月以來，在一系列疑似以經濟利益為目的的網路攻擊中出現。該惡意軟體已被檢測到在針對保險、教育、資訊科技和專業服務等行業的組織的攻擊中。

安全研究人員已將此次攻擊行動與初始訪問代理 (IAB) KongTuke 聯繫起來，KongTuke 也被稱為 KongTuke，其別名包括 404 TDS、Chaya_002、LandUpdate808、TAG-124 和 Woodgnat。在這些入侵事件中，Mistic 與 ModeloRAT 一起部署。 ModeloRAT 是一款基於 Python 的遠端存取木馬，先前已被認定為同一威脅組織所為。

專為隱蔽性和長期訪問而設計

Mistic 的獨特之處在於它能夠完全在記憶體中運行，而無需將檔案寫入磁碟，從而顯著降低了偵測到的幾率。該惡意軟體還內建了自毀開關，可在必要時自我清除。這些特性表明，攻擊者致力於對受感染的環境保持持續且隱密的存取。

為了避免引起注意，該惡意軟體利用 DLL 側加載技術，濫用微軟合法的終端安全實用程式 MpExtMs.exe 來融入正常的系統活動。

ClickFix投放廣告活動的演變

ModeloRAT 最早在 2026 年 1 月引起關注，當時正值對 ClickFix 變種 CrashFix 的調查期間。在該行動中，KongTuke 組織散佈了一個偽裝成廣告攔截器的惡意 Google Chrome 擴充功能。該擴充功能會故意導致受害者的瀏覽器崩潰，然後以執行安全掃描為幌子，誘騙他們執行惡意命令。

ClickFix 的另一次攻擊活動採用了不同的方法，它指示受害者執行執行網域名稱系統 (DNS) 查詢的命令。然後，攻擊者利用 DNS 請求檢索下一階段的有效載荷，從而有效地將 DNS 變成了一種輕量級的中轉和訊號機制。

2026 年 6 月，研究人員也強調了 ClickFix 作為 Mistic 的傳播機制，並將此活動歸因於與勒索軟體相關的威脅行為者試圖獲得初始立足點並促進跨網路橫向移動。

使神秘生物極具危險性的能力

該後門提供了一系列通常與高級遠端存取惡意軟體相關的功能，包括：

上傳和下載檔案、建立資料夾以及移動、重新命名或刪除檔案。
直接在記憶體中執行惡意程式碼，載入 Beacon 物件檔案以擴展功能，修改命令輪詢間隔，並終止和刪除自身以消除證據。

機會主義攻擊與勒索軟體關聯

這次攻擊活動似乎遵循機會主義模式，而非專注於單一產業。據報道，攻擊者會入侵各種組織機構，然後評估哪些受害者能夠提供有利可圖的存取權限，以便出售給其他網路犯罪分子。

研究人員還觀察到 ModeloRAT 出現在最終導致 Qilin 勒索軟體部署的攻擊中，這進一步證實了初始訪問代理和勒索軟體運營商之間的聯繫。

KongTuke不斷擴展的社會工程技術庫

KongTuke經營一套基於被入侵的WordPress網站所建構的複雜流量分發系統（TDS）。該系統利用不斷變化誘餌，將毫無戒心的訪客重新導向到惡意軟體傳播鏈。

最近，安全公司 Rapid7 和 ReliaQuest 報告稱，攻擊者已改變策略，開始使用虛假的「IT 支援」帳戶發送 Microsoft Teams 訊息。這些訊息會引發一系列攻擊，最終導致 ModeloRAT 的部署。

客製化惡意軟體開發的一個日益增長的趨勢

Mistic 的複雜性以及 Woodgnat 涉嫌參與 ModeloRAT 的開發，都表明這是一個技術精湛、專門開發隱藏式遠端存取工具的組織。 Backdoor.Mistic 的出現也反映了更廣泛的行業趨勢，即勒索軟體攻擊越來越依賴自訂惡意軟體、資料竊取工具和專用存取工具。

現有證據表明，Mistic 很可能是存取代理與勒索軟體關聯組織合作的產物，而不是勒索軟體組織本身直接開發的工具。