Một backdoor mới, tinh vi có tên Mistic đã được triển khai như một phần của các cuộc tấn công nghi vấn có động cơ tài chính, nhắm vào nhiều tổ chức trong các lĩnh vực bảo hiểm, giáo dục, IT và dịch vụ chuyên nghiệp kể từ tháng 4 năm 2026.
Theo Đội ngũ săn tìm mối đe dọa của Symantec và Carbon Black, backdoor này (còn được theo dõi với tên MLTBackdoor) được cho là có liên quan đến một initial access broker (IAB) tên là KongTuke (còn gọi là 404 TDS, Chaya_002, LandUpdate808, TAG-124 và Woodgnat) và được phát tán cùng với ModeloRAT, một Python remote access trojan (RAT) trước đây từng được gán cho nhóm này.
"Backdoor này thực thi payload trong bộ nhớ mà không ghi file vào đĩa và bao gồm một kill switch cho phép nó tự xóa chính mình, đây là những tính năng phù hợp với một kẻ tấn công đang tìm kiếm quyền truy cập lâu dài và ít bị phát hiện," các nhóm an ninh mạng của Broadcom cho biết trong một báo cáo chia sẻ với The Hacker News.
ModeloRAT lần đầu tiên bị phát hiện bởi Huntress vào tháng 1 năm 2026 liên quan đến một biến thể của chiến dịch ClickFix có tên CrashFix. Trong đó, các tác nhân KongTuke đã sử dụng một tiện ích mở rộng Google Chrome độc hại giả mạo trình chặn quảng cáo để cố tình làm sập trình duyệt web của nạn nhân và lừa họ chạy các lệnh tùy ý dưới cái cớ quét bảo mật.
Malware này cũng được phân phối trong một chiến dịch ClickFix khác liên quan đến việc thực thi các lệnh thực hiện truy vấn Domain Name System (DNS) để lấy payload giai đoạn tiếp theo. Microsoft lưu ý rằng chuỗi tấn công sử dụng DNS như một "lightweight staging or signaling channel."
Kỹ thuật DLL Side-loading và khả năng của Mistic
Việc Mistic sử dụng ClickFix làm phương thức phát tán đã được nhấn mạnh bởi Zscaler ThreatLabz vào đầu tháng này, gán hoạt động này cho một tác nhân đe dọa liên quan đến ransomware để thiết lập chỗ đứng cho việc di chuyển ngang (lateral movement).
Các phát hiện mới nhất từ Broadcom cho thấy malware dựa trên kỹ thuật DLL side-loading, sử dụng các công cụ bảo mật endpoint tin cậy của Microsoft ("MpExtMs.exe") để trà trộn và tránh bị phát hiện. Backdoor chạy trực tiếp trong bộ nhớ, cho phép một loạt các khả năng thường thấy ở các dòng malware loại này:
- Tải lên hoặc tải xuống một file
- Di chuyển, đổi tên hoặc xóa một file
- Tạo thư mục
- Thay đổi khoảng thời gian polling máy chủ từ xa để nhận lệnh
- Thực thi mã nhận được từ C2 trong bộ nhớ mà không để lại dấu vết trên đĩa
- Tải các Beacon Object Files (BOFs) để mở rộng khả năng một cách linh hoạt
- Kết thúc và tự xóa chính nó
"Mục tiêu có vẻ mang tính cơ hội, với những kẻ tấn công tung lưới rộng và sau đó đánh giá những tổ chức nào chúng có thể bán quyền truy cập thay vì tập trung vào một lĩnh vực duy nhất," Symantec và Carbon Black cho biết, đồng thời nói thêm rằng ModeloRAT đã được quan sát thấy trong các cuộc tấn công triển khai ransomware Qilin.
Tình hình hoạt động của KongTuke
KongTuke được biết đến với việc vận hành một traffic distribution system (TDS) được xây dựng trên các trang WordPress bị xâm nhập, sử dụng nó để phân phát các mồi nhử liên tục thay đổi nhằm dẫn dắt khách truy cập trang web chạy malware. Gần đây nhất là vào tháng trước, Rapid7 và ReliaQuest tiết lộ rằng tác nhân đe dọa này đã chuyển sang gửi tin nhắn Microsoft Teams từ một tài khoản hỗ trợ IT giả mạo để kích hoạt chuỗi tấn công dẫn đến việc triển khai ModeloRAT.
"Sự tinh vi của backdoor này rất đáng chú ý, cũng như thực tế là Woodgnat có thể đứng sau quá trình phát triển ModeloRAT, cho thấy một nhóm có kỹ năng rất cao trong việc phát triển các công cụ truy cập từ xa ẩn mình," Broadcom cho biết.
"Việc sử dụng các công cụ tùy chỉnh trong các cuộc tấn công ransomware đang trở thành một hiện tượng phổ biến hơn, với nhiều ví dụ về các nhóm ransomware sử dụng các công cụ lọc dữ liệu tùy chỉnh và các công cụ khác trong thời gian gần đây. Backdoor.Mistic dường như là sự tiếp nối của xu hướng này, mặc dù nó có khả năng được phát triển bởi các access broker làm việc với các chi nhánh ransomware thay vì chính nhóm ransomware đó."