An ninh mạng

Cảnh báo backdoor Mistic mới: Mối đe dọa từ nhóm môi giới truy cập KongTuke

Các chuyên gia bảo mật vừa phát hiện Mistic, một loại backdoor tinh vi được sử dụng trong các chiến dịch tấn công ransomware nhắm vào nhiều lĩnh vực, liên kết với nhóm môi giới truy cập...

Nguyen Hung
25 Tháng 6, 2026 2 Min Read
2 0

Một loại backdoor mới với khả năng ẩn mình cao mang tên Mistic (còn được biết đến với tên gọi MLTBackdoor) đang trở thành mối đe dọa đáng kể trong các chiến dịch tấn công tài chính từ tháng 4/2026. Các mục tiêu bị nhắm đến trải dài trên nhiều lĩnh vực bao gồm bảo hiểm, giáo dục, CNTT và dịch vụ chuyên nghiệp.

Theo báo cáo từ các đội ngũ Threat Hunter của Symantec và Carbon Black, Mistic có mối liên hệ mật thiết với KongTuke (một nhóm môi giới truy cập – IAB khét tiếng với các bí danh như 404 TDS, Woodgnat). Backdoor này thường được triển khai cùng với ModeloRAT, một mã độc Python RAT đã được ghi nhận trong các chiến dịch trước đó.

Phương thức hoạt động tinh vi

Điểm đáng chú ý của Mistic là khả năng vận hành hoàn toàn trong bộ nhớ (fileless), không để lại dấu vết trên ổ đĩa. Nó được trang bị tính năng tự hủy (kill switch), giúp kẻ tấn công duy trì sự hiện diện lâu dài mà không bị phát hiện. Để qua mặt các giải pháp bảo mật, mã độc này sử dụng kỹ thuật DLL side-loading, lợi dụng công cụ bảo mật hợp lệ của Microsoft là “MpExtMs.exe”.

Các khả năng chính của Mistic bao gồm:

  • Tải lên hoặc tải xuống tệp tin.
  • Thao tác tệp tin (di chuyển, đổi tên, xóa).
  • Tùy chỉnh tần suất kết nối với máy chủ C2.
  • Thực thi mã từ xa trong bộ nhớ mà không cần lưu trữ tệp.
  • Tải các Beacon Object Files (BOFs) để mở rộng chức năng.
  • Tự xóa dấu vết sau khi hoàn tất nhiệm vụ.

Chiến dịch ClickFix và sự liên quan đến Ransomware

Mistic và ModeloRAT thường được phân phối thông qua các chiến dịch ClickFix. Trong đó, kẻ tấn công sử dụng các tiện ích mở rộng trình duyệt giả mạo (như trình chặn quảng cáo) để lừa người dùng thực thi các lệnh độc hại dưới danh nghĩa quét bảo mật. Ngoài ra, nhóm KongTuke còn sử dụng hệ thống phân phối lưu lượng (TDS) trên các trang WordPress bị chiếm quyền và thậm chí giả mạo tài khoản hỗ trợ CNTT trên Microsoft Teams để phát tán mã độc.

Các chuyên gia nhận định rằng, dù Mistic có kỹ thuật tinh vi, nó có khả năng được phát triển bởi các môi giới truy cập nhằm bán quyền truy cập cho các nhóm ransomware (như Qilin) thay vì là công cụ của chính các băng nhóm tống tiền. Việc sử dụng các công cụ tùy chỉnh trong các cuộc tấn công ransomware đang trở thành một xu hướng đáng báo động trong giới tội phạm mạng hiện nay.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept