Pintu belakang Mistic yang tersembunyi terkait dengan broker akses ransomware KongTuke

Sebuah pintu belakang baru yang dijuluki Mistic telah diamati dalam serangan bermotif finansial yang menargetkan organisasi di sektor asuransi, pendidikan, TI, dan layanan profesional.

Malware tersebut diyakini terkait dengan KongTuke/Woodgnat, broker akses awal yang aktif setidaknya sejak tahun 2024 yang berspesialisasi dalam menyusupi jaringan perusahaan dan menjual akses tersebut ke kelompok ransomware, termasuk Qilin, Interlock, Rhysida, Akira, 8Base, dan Black Basta.

Para peneliti di perusahaan keamanan siber Symantec mengatakan bahwa Mistic telah digunakan dalam intrusi sejak bulan April.

Setidaknya dalam satu insiden, itu diterapkan segera setelah ModeloRAT, a pintu belakang dikaitkan dengan KongTuke dan disampaikan melalui serangan rekayasa sosial melalui Microsoft Teams.

Symantec percaya bahwa Mistic adalah backdoor tersembunyi yang baru dikembangkan dan dirancang untuk persistensi jangka panjang dalam jaringan yang disusupi.

Rantai serangan mistik

Dalam serangan yang diselidiki oleh Symantec, infeksi dimulai dengan peluncuran MpExtMs.exe sah yang dapat dieksekusi untuk melakukan side-load DLL berbahaya bernama version.dll, yang bertindak sebagai pemuat Mistic (EndpointDlp.dll).

Para peneliti mencatat bahwa nama file yang dipilih untuk Mistic menyerupai alat keamanan titik akhir Microsoft, yang dapat membantu malware berbaur dengan perangkat lunak tepercaya di host.

DLL .NET terpisah juga dimuat, yang menampilkan layar login palsu kepada korban untuk mencuri kredensial akun mereka.

Setelah dimuat, Mistic berkomunikasi dengan infrastruktur perintah dan kontrolnya dan dapat menerima perintah dari operator. Symantec mencantumkan kemampuan berikut:

• Unggah/unduh, pindahkan, ganti nama, hapus file, dan buat folder
• Ubah seberapa sering Mistic memeriksa perintah dari server perintah dan kontrol (C2).
• Jalankan kode yang diterima dari C2 langsung di memori
• Hentikan sendiri dan hapus file dari host

Menurut analisis Symantec, Mistic tampaknya dirancang untuk diam-diam, memungkinkan penyerang untuk mempertahankan pijakannya dalam jaringan yang disusupi selama jangka waktu yang lama.

“Pintu belakang menjalankan muatan dalam memori tanpa file yang ditulis ke disk dan dilengkapi tombol pemutus yang memungkinkannya menghapus dirinya sendiri, yang merupakan fitur yang konsisten dengan operator yang mencari akses jangka panjang dengan visibilitas rendah,” kata peneliti.

Symantec tidak memberikan rincian tentang bagaimana infeksi dimulai, namun KongTuke diketahui menggunakan ClickFix, dan Perbaikan File Dan Perbaikan Kerusakan varian, sejak awal tahun 2025 untuk mengirimkan malware ModeloRAT.

Di sebuah laporan teknis minggu ini, perusahaan keamanan cloud Zscaler mencatat bahwa Mistic, yang dilacak sebagai MTLBackdoor, dikirimkan sebagai muatan dalam rantai infeksi ClickFix multi-tahap pada bulan Mei.

Peneliti Zscaler mengatakan bahwa “salah satu fitur paling kuat [in MTLBackdoor] adalah kemampuan untuk memuat Beacon Object Files (BOFs) untuk memperluas kemampuannya.”

BOF adalah program kecil di C yang dapat dijalankan langsung di memori proses perintah-dan-kontrol (C2), tidak meninggalkan jejak pada disk dan menghindari deteksi agen keamanan. Mereka biasa terjadi pada produk tim merah, seperti Cobalt Strike, untuk tahap pasca eksploitasi.

Symantec percaya bahwa Mistic mengkonfirmasi tren alat khusus yang digunakan dalam serangan ransomware, meskipun pintu belakang tampaknya telah dikembangkan oleh broker akses awal yang terkait erat dengan sektor ransomware.

KongTuke diketahui menggunakan beberapa alat lain, seperti runtime WinPython dan Node.js yang sah untuk mengeksekusi kode berbahaya, finger.exe untuk mengambil muatan yang dikaburkan, ekstensi browser NexShield palsumuatan GateKeeper .NET terenkripsi, dan pemuat malware MintsLoader dan D3F@ck Loader untuk mengirimkan muatan tambahan.

Baik Zscaler dan Symantec melaporkan[[12]memberikan indikator kompromi untuk malware Mistic/MTLBackdoor dan mencatat bahwa ini adalah alat tersembunyi yang dapat memperluas fungsinya.