Mystische Hintertür
Eine ausgeklügelte Hintertür namens Mistic, auch bekannt als MLTBackdoor, ist im Zuge einer Welle mutmaßlich finanziell motivierter Cyberangriffe aufgetaucht, die seit April 2026 aktiv sind. Die Schadsoftware wurde bei Angriffen auf Organisationen aus den Bereichen Versicherung, Bildung, Informationstechnologie und professionelle Dienstleistungen entdeckt.
Sicherheitsforscher haben die Operation mit dem Initial Access Broker (IAB) KongTuke in Verbindung gebracht, der auch unter verschiedenen Aliasnamen wie 404 TDS, Chaya_002, LandUpdate808, TAG-124 und Woodgnat bekannt ist. Bei diesen Angriffen wurde Mistic zusammen mit ModeloRAT eingesetzt, einem Python-basierten Remote-Access-Trojaner, der zuvor demselben Angreifer zugeschrieben wurde.
Inhaltsverzeichnis
Konzipiert für unauffälligen und langfristigen Zugriff
Mistic zeichnet sich dadurch aus, dass es vollständig im Arbeitsspeicher ausgeführt werden kann, ohne Dateien auf die Festplatte zu schreiben, wodurch die Entdeckungswahrscheinlichkeit deutlich reduziert wird. Die Malware verfügt zudem über einen integrierten Selbstlöschmechanismus, der es ihr ermöglicht, sich bei Bedarf selbst zu löschen. Diese Eigenschaften deuten darauf hin, dass die Betreiber darauf abzielen, dauerhaften und unbemerkten Zugriff auf kompromittierte Systeme aufrechtzuerhalten.
Um keine Aufmerksamkeit zu erregen, setzt die Malware auf DLL-Sideloading-Techniken und missbraucht Microsofts legitimes Endpoint-Security-Utility MpExtMs.exe, um sich in die normale Systemaktivität einzufügen.
Die Entwicklung der ClickFix-Lieferkampagnen
ModeloRAT erlangte erstmals im Januar 2026 im Zuge von Ermittlungen zu einer ClickFix-Kampagnenvariante namens CrashFix Aufmerksamkeit. Bei dieser Operation verbreiteten KongTuke-Akteure eine schädliche Google Chrome-Erweiterung, die als Werbeblocker getarnt war. Die Erweiterung brachte die Browser der Opfer absichtlich zum Absturz und verleitete sie anschließend unter dem Vorwand eines Sicherheits-Scans zur Ausführung schädlicher Befehle.
Eine weitere ClickFix-Kampagne verfolgte einen anderen Ansatz: Die Opfer wurden angewiesen, Befehle auszuführen, die eine DNS-Abfrage durchführten. Die DNS-Anfrage diente dann dazu, die nächste Schadsoftware abzurufen, wodurch DNS effektiv zu einem einfachen Zwischenspeicher- und Signalmechanismus für die Angreifer wurde.
Im Juni 2026 wiesen Forscher auch auf die Verwendung von ClickFix als Verbreitungsmechanismus für Mistic hin und schrieben die Aktivität einem mit Ransomware verbundenen Bedrohungsakteur zu, der versuchte, sich einen ersten Zugang zu verschaffen und die laterale Ausbreitung in Netzwerken zu erleichtern.
Fähigkeiten, die Mistic hochgefährlich machen
Die Hintertür bietet eine breite Palette von Funktionen, die üblicherweise mit hochentwickelter Fernzugriffs-Malware in Verbindung gebracht werden, darunter:
Dateien hochladen und herunterladen, Ordner erstellen sowie Dateien verschieben, umbenennen oder löschen.
Ausführen von bösartigem Code direkt im Speicher, Laden von Beacon-Objektdateien zur Erweiterung der Funktionalität, Ändern der Befehlsabfrageintervalle und Beenden und Löschen des Programms selbst, um Beweise zu vernichten.
Opportunistische Angriffe und Verbindungen zu Ransomware
Die Kampagne scheint eher einem opportunistischen Ansatz zu folgen, als sich auf eine einzelne Branche zu konzentrieren. Angreifer kompromittieren Berichten zufolge eine Vielzahl von Organisationen und analysieren anschließend, welche Opfer anderen Cyberkriminellen lukrative Zugangsmöglichkeiten bieten könnten.
Forscher haben ModeloRAT auch bei Angriffen beobachtet, die letztendlich zur Verbreitung der Qilin-Ransomware führten, was die Verbindung zwischen Initial Access Brokern und Ransomware-Betreibern untermauert.
KongTukes wachsendes Arsenal an Social-Engineering-Techniken
KongTuke betreibt ein ausgeklügeltes Traffic-Distribution-System (TDS), das auf kompromittierten WordPress-Websites basiert. Diese Infrastruktur dient dazu, ständig wechselnde Köder auszuspielen, die ahnungslose Besucher auf Malware-Verbreitungsketten umleiten.
Kürzlich berichteten die Sicherheitsunternehmen Rapid7 und ReliaQuest, dass der Angreifer seine Taktik geändert hat und nun Microsoft Teams-Nachrichten von gefälschten „IT-Support“-Konten versendet. Diese Nachrichten initiieren eine Angriffskette, die in der Bereitstellung von ModeloRAT gipfelt.
Ein wachsender Trend bei der Entwicklung kundenspezifischer Malware
Die ausgefeilte Architektur von Mistic und die mutmaßliche Beteiligung von Woodgnat an der Entwicklung von ModeloRAT deuten auf eine hochqualifizierte Gruppe hin, die sich auf unauffällige Fernzugriffswerkzeuge spezialisiert hat. Das Auftreten von Backdoor.Mistic spiegelt zudem einen branchenweiten Trend wider, bei dem Ransomware-Angriffe zunehmend auf maßgeschneiderte Malware, Exfiltrationsprogramme und spezialisierte Zugriffswerkzeuge setzen.
Aktuelle Erkenntnisse deuten darauf hin, dass Mistic eher ein Produkt von Zugangsvermittlern in Zusammenarbeit mit Ransomware-Partnern ist als ein Tool, das direkt von einer Ransomware-Gruppe selbst entwickelt wurde.
