Скрытый бэкдор Mistic связан с брокером доступа для вымогателей KongTuke

Новый бэкдор под названием Mistic применяется в финансово мотивированных атаках против организаций в сферах страхования, образования, IT и профессиональных услуг.

Кто стоит за атаками?

Вредонос предположительно связан с KongTuke (также известен как Woodgnat) — брокером первоначального доступа, активным как минимум с 2024 года. Группировка специализируется на компрометации корпоративных сетей и продаже доступа группировкам-вымогателям, включая Qilin, Interlock, Rhysida, Akira, 8Base и Black Basta.

По данным исследователей Symantec, Mistic используется в атаках с апреля. В одном из инцидентов бэкдор был развёрнут сразу после ModeloRAT — другого инструмента KongTuke, доставляемого через социальную инженерию в Microsoft Teams.

Цепочка заражения

В исследованных Symantec атаках заражение начиналось с запуска легитимного исполняемого файла MpExtMs.exe, который использовался для sideloading вредоносной DLL под названием version.dll — загрузчика самого Mistic (EndpointDlp.dll).

Исследователи отмечают, что имя файла Mistic намеренно напоминает инструменты безопасности Microsoft, что помогает вредоносу маскироваться среди доверенного ПО на устройстве. Отдельно загружается .NET DLL, отображающая жертве поддельный экран входа для кражи учётных данных.

Возможности Mistic

• Загрузка, выгрузка, перемещение, переименование и удаление файлов, создание папок
• Изменение частоты опроса C2-сервера
• Выполнение кода от C2 непосредственно в памяти
• Самоуничтожение и удаление файлов с устройства (kill switch)

«Бэкдор выполняет нагрузки в памяти без записи файлов на диск и включает функцию самоуничтожения — это признаки оператора, заинтересованного в долгосрочном и малозаметном доступе.»

— Symantec

Связь с ClickFix

Хотя Symantec не уточняет начальный вектор заражения, известно, что KongTuke с начала 2025 года активно использует технику ClickFix и её варианты FileFix и CrashFix для доставки ModeloRAT.

Компания Zscaler, отслеживающая Mistic под названием MTLBackdoor, сообщила, что вредонос распространялся в рамках многоэтапной цепочки ClickFix в мае. Исследователи Zscaler отмечают одну из самых мощных функций бэкдора — возможность загружать Beacon Object Files (BOF) для расширения возможностей.

BOF — небольшие программы на языке C, выполняющиеся непосредственно в памяти процесса C2 без следов на диске, что позволяет обходить средства защиты. Такая техника широко применяется в инструментах red team, включая Cobalt Strike, на постэксплуатационной стадии атаки.

Вывод

По мнению Symantec, появление Mistic подтверждает тенденцию использования кастомных инструментов в атаках вымогателей — при этом сам бэкдор был разработан брокером первоначального доступа, тесно связанным со сценой ransomware. Известно, что KongTuke применяет и другие легитимные инструменты, в том числе WinPython, в своих кампаниях.