深入解析 Mistic：勒索软件入侵中的新型隐蔽后门

Mistic 是一个隐蔽的后门，被与 KongTuke 有关联的行为者用于在勒索软件攻击目标网络中保持长期访问权限。

Mistic 是那种告诉你操作者想要的是时间而非噪音的后门。Symantec 安全研究人员表示，该后门已出现在针对保险、教育、IT 和专业服务公司的经济动机攻击中，并将其与 KongTuke（又名 Woodgnat）关联起来，后者是一个至少自 2024 年以来一直活跃的访问掮客。该团伙有着清晰的商业模式：入侵、保持访问权限开放，然后将该访问权限出售给 Qilin、Interlock、Rhysida、Akira、8Base 和 Black Basta 等勒索软件团伙。

感染路径看起来是为伪装而设计的。在 Symantec 分析的案例中，攻击始于合法进程 MpExtMs.exe 加载了一个名为 version.dll 的恶意 DLL，该 DLL 随后释放了 Mistic 加载器 EndpointDlp.dll。这个名称与 Microsoft 安全工具的名称非常接近，足以发挥作用，而这很可能就是目的所在。一个独立的 .NET DLL 还显示了一个虚假的登录屏幕以窃取凭证，因为显然犯罪分子仍然喜欢利用你对自己的信任来对付你。

Symantec 发布的报告指出：Mistic 通过合法文件 MpExtMs.exe 进行侧加载，并从名为 EndpointDlp.dll 的 DLL 加载，该名称与 Microsoft 端点安全工具相关。这有助于后门与受信任的软件融为一体。该后门在内存中运行载荷，不将文件写入磁盘，并包含一个允许其自删除的 kill switch，这些特性与寻求长期、低可见性访问的操作者相符。

Symantec 表示 Mistic 自 4 月以来一直在被使用，至少在一个案例中，它是在 ModeloRAT（另一个与 KongTuke 相关的后门，通过 Microsoft Teams 社会工程学传播）之后立即出现的。这种排序方式并不隐蔽，但足够有效，以至于人们一直在这样做。

一旦加载，Mistic 会连接到其命令与控制服务器并等待指令。它可以上传、下载、移动、重命名、删除文件，创建文件夹，更改检测间隔，直接在内存中运行代码，以及从主机中移除自身。对于一个试图不让自己看起来像后门的后门来说，这是一个相当不错的工具箱。

Zscaler 首先分析了该后门，将其追踪为与 MTLBackdoor 相同的恶意软件家族，并表示它在 5 月通过一个多阶段的 ClickFix 链进行了投递。

报告继续写道：一个相对较新的后门（我们称之为 Backdoor.Mistic）自 2026 年 4 月以来已在多次攻击中被部署。该后门最早由 Zscaler（将其追踪为 MLTBackdoor）于本月早些时候记录。Mistic 可能与公开追踪为 KongTuke（我们追踪为 Woodgnat）的经济动机初始访问掮客（IAB）有关，并在一次入侵中被使用，该入侵还涉及该团伙的 ModeloRAT 远程访问木马。

Mistic 可以上传、下载、移动、删除文件，创建文件夹，调整命令检测间隔，甚至通过内置的 kill switch 移除自身。在最近的一次攻击中，攻击者使用 DLL 侧加载技术，通过合法的 Microsoft 可执行文件加载恶意软件和一个凭证窃取组件，该组件显示了一个虚假的登录屏幕。该活动还利用了常见的工具，如 PowerShell、Curl、Certutil、WMIC、Net.exe 和 Reg.exe，用于侦察、持久化、凭证窃取和横向移动。其内存执行和自删除能力使其对于长期隐蔽访问特别有效。

报告指出：Mistic 在内存中执行并且内置了 kill switch 这一事实意味着它非常隐蔽，可能为攻击者提供长期、隐蔽的访问权限。

KongTuke 还被观察到使用更广泛的工具包，包括 WinPython、Node.js、finger.exe、一个虚假的 NexShield 浏览器扩展、加密的 GateKeeper .NET 载荷，以及 MintsLoader 和 D3F@ck Loader 等加载器。这种组合很重要，因为它显示了一个重视灵活性并希望快速切换投递方法的操作者。换句话说，他们不依赖于单一手段，这对接收方来说通常是一个坏兆头。

在勒索软件操作中越来越多地使用定制恶意软件标志着从传统依赖合法系统工具的转变。Backdoor.Mistic 似乎符合这一趋势，并且很可能由与勒索软件关联机构相关的访问掮客开发，而非勒索软件团伙本身。其隐蔽特性，加上 Woodgnat 涉嫌参与开发 ModeloRAT，突显了一个技术高超的团伙，该团伙可能扩展其工具集和犯罪合作伙伴关系。

报告总结道：该后门的隐蔽性也值得注意，Woodgnat 可能还参与了 ModeloRAT 的开发，这表明该团伙在开发隐蔽远程访问工具方面技术非常高超。这表明该团伙应被积极追踪，因为它可能继续开发定制工具，并扩大其合作的勒索软件行为者范围。