Een nieuwe, sluipende achterdeur genaamd Mistig wordt sinds april 2026 ingezet als onderdeel van vermoedelijk financieel gemotiveerde aanvallen gericht op meerdere organisaties in de verzekerings-, onderwijs-, IT- en professionele dienstverleningssector.
Volgens het Threat Hunter Team van Symantec en Carbon Black zou de achterdeur, ook gevolgd als MLTBackdoor, gekoppeld zijn aan een initial access broker (IAB) genaamd KongTuke (ook bekend als 404 TDS, Chaya_002, LandUpdate808, TAG-124 en Woodgnat), en samen met ModeloRAT, een Python remote access trojan (RAT) die eerder aan de groep werd toegeschreven, worden verwijderd.
“De achterdeur voert payloads uit in het geheugen zonder dat er bestanden naar de schijf worden geschreven en bevat een kill-schakelaar waarmee deze zichzelf kan verwijderen, wat kenmerken is die consistent zijn met een operator die op zoek is naar langdurige, slecht zichtbare toegang”, aldus de cyberbeveiligingsteams van Broadcom in een rapport gedeeld met The Hacker News.
ModeloRAT werd voor het eerst gemarkeerd door Huntress in januari 2026 in verband met een variant van een ClickFix-campagne genaamd CrashFix, waarin de KongTuke-acteurs een kwaadaardige Google Chrome-extensie gebruikten die zich voordeed als advertentieblokkering om opzettelijk de webbrowser van een slachtoffer te laten crashen en hen te misleiden tot het uitvoeren van willekeurige opdrachten onder het voorwendsel van het uitvoeren van een beveiligingsscan.
De malware werd ook verspreid in een andere ClickFix-campagne waarbij opdrachten werden uitgevoerd die een DNS-zoekopdracht (Domain Name System) uitvoerden om de payload van de volgende fase op te halen, waarbij Microsoft opmerkte dat de aanvalsketen DNS gebruikt als een “lichtgewicht staging- of signaleringskanaal”.
Mistic’s gebruik van ClickFix als leveringsvector werd eerder deze maand benadrukt door Zscaler ThreatLabz, waarbij de activiteit werd toegeschreven aan een ransomware-gerelateerde bedreigingsacteur om voet aan de grond te krijgen voor laterale beweging.
Uit de nieuwste bevindingen van Broadcom blijkt dat de malware afhankelijk is van DLL-side-loading-technieken, waarbij gebruik wordt gemaakt van vertrouwde Microsoft-eindpuntbeveiligingstools (“MpExtMs.exe”) om op te vallen en waarschuwingen te voorkomen. De achterdeur draait rechtstreeks in het geheugen, waardoor een breed scala aan mogelijkheden mogelijk is die doorgaans worden geassocieerd met een dergelijke malwarefamilie:
- Upload of download een bestand
- Verplaats, hernoem of verwijder een bestand
- Maak een map
- Wijzig het tijdsinterval waarna het een externe server om opdrachten vraagt
- Voer code uit die is ontvangen van C2 in het geheugen zonder artefacten op schijf achter te laten
- Laad Beacon Object Files (BOF’s) om de mogelijkheden dynamisch uit te breiden
- Beëindig en verwijder zichzelf
“De targeting lijkt opportunistisch, waarbij de aanvallers een breed net uitwerpen en vervolgens beoordelen aan welke organisaties ze toegang kunnen verkopen in plaats van zich te concentreren op een enkele sector”, aldus Symantec en Carbon Black, eraan toevoegend dat ModeloRAT is waargenomen bij aanvallen waarbij Qilin-ransomware werd ingezet.
Het is bekend dat KongTuke een verkeersdistributiesysteem (TDS) beheert dat is gebouwd op gecompromitteerde WordPress-sites en dit gebruikt om een steeds evoluerende reeks lokmiddelen te bedienen die nietsvermoedende sitebezoekers naar malware leiden. Vorige maand onthulden Rapid7 en ReliaQuest dat de bedreigingsacteur Microsoft Teams-berichten heeft verzonden vanaf een nep-IT-ondersteuningsaccount om een aanvalsketen te activeren die leidt tot de inzet van ModeloRAT.
“De stealth van de achterdeur is ook opmerkelijk, net als het feit dat Woodgnat mogelijk ook achter de ontwikkeling van ModeloRAT zit, wat wijst op een groep die zeer bekwaam is in de ontwikkeling van stealthy tools voor externe toegang”, aldus Broadcom.
“Het gebruik van aangepaste tools bij ransomware-aanvallen wordt een steeds vaker voorkomend fenomeen, met meerdere voorbeelden van ransomware-groepen die de laatste tijd aangepaste exfiltratie en andere tools gebruiken. Backdoor.Mistic lijkt een voortzetting van deze trend, hoewel het waarschijnlijk lijkt te zijn ontwikkeld door toegangsmakelaars die samenwerken met ransomware-filialen in plaats van door een ransomware-groep zelf.”
