Se introdujo una nueva puerta trasera sigilosa llamada Mistic como parte de un presunto ataque con motivación financiera dirigido a múltiples organizaciones en los sectores de seguros, educación, TI y servicios profesionales desde abril de 2026.
Según Symantec y Carbon Black Threat Hunter Team, esta puerta trasera, también rastreada como MLTBackdoor, está vinculada a un agente de acceso inicial (IAB) llamado KongTuke (también conocido como 404 TDS, Chaya_002, LandUpdate808, TAG-124 y Woodgnat), un troyano de acceso remoto Python (RAT) anteriormente atribuido a este grupo. Se dice que se eliminó junto con ModeloRAT.
«Esta puerta trasera ejecuta su carga útil en la memoria sin escribir archivos en el disco e incluye un interruptor de apagado que le permite eliminarse a sí mismo, una característica consistente con los operadores que buscan acceso a largo plazo y de baja visibilidad», dijo el equipo de ciberseguridad de Broadcom en un informe compartido con The Hacker News.
Huntress informó por primera vez sobre ModeloRAT en enero de 2026 en relación con una variante de la campaña ClickFix llamada CrashFix. En esta campaña, los atacantes de KongTuke utilizaron una extensión maliciosa de Google Chrome disfrazada de bloqueador de anuncios para bloquear intencionalmente los navegadores web de las víctimas y ejecutar comandos arbitrarios con el pretexto de ejecutar análisis de seguridad.
El malware también se distribuyó en una campaña separada de ClickFix que ejecutó un comando para realizar una búsqueda en el sistema de nombres de dominio (DNS) para obtener la carga útil de la siguiente etapa, y Microsoft señaló que la cadena de ataque utiliza DNS como un «canal ligero de preparación o señalización».
Zscaler ThreatLabz destacó el uso de ClickFix por parte de Mistic como vector de entrega a principios de este mes, y se creía que la actividad establecía un punto de apoyo para el movimiento lateral de los actores de amenazas relacionados con ransomware.
Los últimos hallazgos de Broadcom muestran que el malware se basa en una técnica de descarga de DLL que utiliza una herramienta confiable de seguridad de punto final de Microsoft (‘MpExtMs.exe’) para evitar generar señales de alerta. La puerta trasera se ejecuta directamente en la memoria y habilita una amplia gama de funciones típicamente asociadas con este tipo de familia de malware.
Cargar o descargar archivos Mover, cambiar el nombre o eliminar archivos Crear carpetas Cambiar el intervalo de tiempo entre el sondeo de comandos en servidores remotos Ejecutar código recibido del C2 en la memoria sin dejar artefactos en el disco Cargar un archivo de objeto de baliza (BOF) para extender dinámicamente la funcionalidad Cargar un archivo de objeto de baliza (BOF), finalizarlo y eliminarlo
«En lugar de centrarse en un área única, este objetivo parece ser oportunista, ya que los atacantes lanzan una amplia red y evalúan a qué organizaciones pueden vender el acceso», dijeron Symantec y Carbon Black, y agregaron que ModeloRAT se ha observado en ataques que implementan el ransomware Qilin.
Se sabe que KongTuke opera un sistema de distribución de tráfico (TDS) construido sobre sitios de WordPress comprometidos y lo utiliza para proporcionar un conjunto de incentivos en constante evolución para atraer a los visitantes desprevenidos del sitio al malware. El mes pasado, Rapid7 y ReliaQuest revelaron que los atacantes enviaron mensajes a Microsoft Teams desde una cuenta de soporte de TI falsa, lo que desencadenó la cadena de ataque que condujo a la implementación de ModeloRAT.
«La naturaleza sigilosa de la puerta trasera también es digna de mención, y el hecho de que Woognat también pueda estar involucrado en el desarrollo de ModeloRAT indica que este grupo está altamente capacitado para desarrollar herramientas de acceso remoto sigiloso», dijo Broadcom.
«El uso de herramientas personalizadas en ataques de ransomware se está convirtiendo en un fenómeno más común, y ha habido múltiples ejemplos recientes de grupos de ransomware que utilizan exfiltración personalizada y otras herramientas. Backdoor.Mistic parece ser una extensión de esta tendencia, pero parece más probable que haya sido desarrollado por un agente de acceso que trabaja con un afiliado de ransomware en lugar de un grupo de ransomware en sí».
Source link
