Um novo backdoor, batizado de Mistic, foi identificado em ataques motivados financeiramente contra organizações dos setores de seguros, educação, tecnologia da informação e serviços profissionais.
Acredita-se que o malware tenha relação com o grupo KongTuke/Woodgnat, um broker de acesso inicial ativo ao menos desde 2024 e especializado em comprometer redes corporativas para depois vender esse acesso a grupos de ransomware, entre eles Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta.
Pesquisadores da Symantec afirmam que o Mistic vem sendo usado em invasões desde abril.
Em pelo menos um incidente, ele foi implantado pouco depois do ModeloRAT, outro backdoor atribuído ao KongTuke e distribuído por meio de ataques de engenharia social no Microsoft Teams.
Segundo a Symantec, o Mistic é um backdoor desenvolvido recentemente, furtivo e projetado para garantir persistência de longo prazo em redes comprometidas.
Nos ataques analisados, a infecção começou com a execução do arquivo legítimo MpExtMs.exe, usado para carregar lateralmente uma DLL maliciosa chamada version.dll, que atua como loader do Mistic, identificado como EndpointDlp.dll.
Os pesquisadores observam que o nome escolhido para o Mistic lembra ferramentas legítimas de segurança de endpoint da Microsoft, o que pode ajudar o malware a se misturar ao software confiável presente no host.
Outra DLL em .NET também é carregada e exibe à vítima uma tela falsa de login para roubar suas credenciais de conta.
Depois de carregado, o Mistic se comunica com sua infraestrutura de comando e controle e pode receber instruções do operador.
A Symantec lista as seguintes capacidades:
Fazer upload e download de arquivos, além de mover, renomear, excluir arquivos e criar pastas
Modificar com que frequência o Mistic verifica se há comandos no servidor de comando e controle, o C2
Executar diretamente na memória o código recebido do C2
Encerrar a própria execução e excluir arquivos do host
De acordo com a análise da Symantec, o Mistic parece ter sido projetado para operar de forma discreta, permitindo que invasores mantenham acesso persistente a redes comprometidas por longos períodos.
“O backdoor executa payloads na memória, sem gravar arquivos em disco, e inclui um mecanismo de desligamento que permite sua própria remoção, características compatíveis com um operador que busca acesso de longo prazo e baixa visibilidade”, afirmaram os pesquisadores.
A Symantec não detalha como a infecção começa, mas o KongTuke já é conhecido por usar, desde o início de 2025, o ClickFix e suas variantes FileFix e CrashFix para distribuir o malware ModeloRAT.
Em um relatório técnico divulgado nesta semana, a Zscaler afirma que o Mistic, que ela acompanha sob o nome MTLBackdoor, foi entregue como payload em uma cadeia de infecção multietapas do ClickFix em maio.
Os pesquisadores da Zscaler dizem que “um dos recursos mais poderosos [do MTLBackdoor] é a capacidade de carregar Beacon Object Files (BOFs) para ampliar suas funcionalidades”.
Os BOFs são pequenos programas em C que podem ser executados diretamente na memória de um processo de comando e controle, sem deixar rastros em disco e evitando a detecção por agentes de segurança.
Eles são comuns em ferramentas de red team, como o Cobalt Strike, na fase pós-exploração.
A Symantec avalia que o Mistic confirma a tendência observada de uso de ferramentas personalizadas em ataques de ransomware, embora o backdoor pareça ter sido desenvolvido por um broker de acesso inicial com forte ligação com o cenário de ransomware.
O KongTuke é conhecido por usar outras ferramentas, como os runtimes legítimos WinPython e Node.js para executar código malicioso, o finger.exe para recuperar payloads ofuscados, a falsa extensão de navegador NexShield, o payload .NET criptografado GateKeeper e os loaders de malware MintsLoader e D3F@ck Loader para entregar novos payloads.
Tanto os relatórios da Zscaler quanto da Symantec trazem indicadores de comprometimento do malware Mistic/MTLBackdoor e destacam que ele é uma ferramenta furtiva, capaz de ampliar suas funcionalidades.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...