Нова задна врата Mistic поврзана со KongTuke во кампањите ClickFix и ModeloRAT

Нова, прикриена задна врата (backdoor) наречена Mistic е користена во сомнителни финансиски мотивирани напади насочени кон повеќе организации од секторите осигурување, образование, ИТ и професионални услуги од април 2026 година наваму.

Според истражувачите од Symantec и VMware Carbon Black Threat Hunter Team, задната врата, која се следи и под името MLTBackdoor, е поврзана со брокер за почетен пристап (Initial Access Broker – IAB) познат како KongTuke (исто така познат како 404 TDS, Chaya_002, LandUpdate808, TAG-124 и Woodgnat). Таа се испорачува заедно со ModeloRAT, тројанец за далечински пристап (RAT) напишан во Python, кој претходно беше припишан на истата група.

Според извештајот споделен со The Hacker News, задната врата извршува малициозни товари директно во меморија без да запишува датотеки на дискот и содржи „kill switch“ механизам што ѝ овозможува самата да се избрише. Овие карактеристики се типични за оператори кои бараат долгорочен и тешко забележлив пристап до компромитирани системи.

ModeloRAT првпат беше забележан од Huntress во јануари 2026 година во рамки на варијанта на кампањата ClickFix, наречена CrashFix. Во ова сценарио, напаѓачите користеле злонамерна екстензија за Google Chrome која се претставувала како блокатор на реклами. Таа намерно го урива веб-прелистувачот на жртвата и ја наведува да изврши произволни команди под изговор дека се спроведува безбедносна проверка.

Малициозниот софтвер бил дистрибуиран и преку друга ClickFix кампања во која се извршувале команди за DNS пребарување со цел преземање на следната фаза од нападот. Microsoft забележа дека синџирот на напад го користи DNS како „лесен канал за поставување или сигнализација“.

Употребата на Mistic како товар испорачан преку ClickFix неодамна беше истакната и од Zscaler ThreatLabz, кои ја поврзаа активноста со актер поврзан со ransomware напади, со цел воспоставување почетно присуство во мрежата и понатамошно странично движење (lateral movement).

Најновите наоди покажуваат дека малициозниот софтвер користи техника позната како DLL side-loading, при што злоупотребува доверлива алатка за заштита на крајни точки од Microsoft („MpExtMs.exe“) за да се вклопи во нормалниот системски сообраќај и да избегне сомнеж.

Mistic работи директно во меморијата и овозможува широк спектар на функции:

• Прикачување или преземање датотеки.
• Преместување, преименување или бришење датотеки.
• Креирање папки.
• Менување на интервалот за комуникација со далечинскиот сервер за команди.
• Извршување код добиен од C2 (Command-and-Control) сервер директно во меморија без траги на дискот.
• Вчитување на Beacon Object Files (BOF) за динамичко проширување на можностите.
• Самоуништување и самобришење.

Според истражувачите, целењето изгледа опортунистички: напаѓачите таргетираат голем број организации, а потоа проценуваат до кои можат да обезбедат пристап и да го продадат, наместо да се фокусираат на еден конкретен сектор. Забележано е и дека ModeloRAT бил користен во напади што довеле до распоредување на ransomware од групата Qilin.

KongTuke е познат по управување со Traffic Distribution System (TDS) изграден врз компромитирани WordPress веб-страници. Преку нив се прикажуваат различни мамки што ги насочуваат посетителите кон малициозен софтвер. Минатиот месец, Rapid7 и ReliaQuest открија дека групата почнала да испраќа пораки преку Microsoft Teams од лажна сметка „IT Support“, со што иницира синџир на напад кој завршува со инсталација на ModeloRAT.

Според Broadcom, особено впечатлива е прикриеноста на задната врата, како и можноста групата Woodgnat да стои зад развојот на ModeloRAT, што укажува на високо ниво на техничка експертиза во создавање алатки за далечински пристап кои тешко се детектираат.

Истражувачите заклучуваат дека употребата на сопствено развиени алатки во ransomware нападите станува сè почеста појава. Mistic се вклопува во овој тренд, но најверојатно е развиен од брокери за пристап кои соработуваат со ransomware партнери, а не од самите ransomware групи.

Извори:

• The Hacker News – New Mistic Backdoor Linked to KongTuke in ClickFix and ModeloRAT Campaigns The Hacker News