Backdoor.Mistic 

Editors' Pick

A Symantec Threat Hunter Team jelentése szerint a Backdoor.Mistic-et 2026 áprilisa óta több pénzügyi motivációjú kibertámadásban alkalmazták. A kutatók szerint a malware szorosan kapcsolódhat a Woodgnat (KongTuke) nevű Initial Access Broker (IAB) csoporthoz, amely vállalati hozzáférések megszerzésére és azok zsarolóvírus-csoportok részére történő értékesítésére specializálódott. Az összefüggést erősíti, hogy egy incidens során a Mistic közvetlenül a Woodgnat által fejlesztett ModeloRAT után jelent meg, míg a Symantec külön megfigyelte, hogy a ModeloRAT-ot Qilin zsarolóvírus telepítésére is felhasználták. A Woodgnat korábban többek között a Qilin, Black Basta, Akira, Rhysida, Interlock és 8Base ransomware-ökoszisztémához is köthető volt. A célpontok között biztosítók, oktatási intézmények, IT- és professzionális szolgáltató cégek szerepelnek, ami opportunista célpontválasztásra utal. 

A Backdoor.Mistic egyik legfontosabb jellemzője a rejtett működés. A kártevő DLL side-loading technikával töltődik be egy legitim MpExtMs.exe folyamaton keresztül, miközben EndpointDlp.dll néven álcázza magát. Képes a memóriában közvetlenül további kódok végrehajtására anélkül, hogy fájlokat írna a lemezre, támogatja a fájlműveleteket, a távoli parancsvégrehajtást, valamint rendelkezik egy kill switch funkcióval is, amely szükség esetén önmagát törli, csökkentve a digitális nyomokat. Egyes támadások során egy .NET alapú hitelesítőadat-lopó modult is telepítettek, amely hamis bejelentkezési ablak segítségével gyűjtötte a felhasználói hitelesítő adatokat. A jelentés szerint a Mistic elsődleges célja a hosszú távú, alacsony észlelhetőségű hozzáférés fenntartása, amelyet később ransomware-csoportok vagy más támadók használhatnak fel további műveletekhez.

FORRÁS