Un nouveau backdoor nommé Mistic a été détecté dans des attaques à motivation financière qui visaient des organisations des secteurs de l’assurance, de l’éducation, des technologies de l’information et des services professionnels.
Ce logiciel malveillant semble être lié à KongTuke, aussi connu sous le nom de Woodgnat. Ce courtier en accès initial est actif depuis au moins 2024 et il se spécialise dans la compromission de réseaux d’entreprise. Il revend ensuite cet accès à des groupes de rançongiciels comme Qilin, Interlock, Rhysida, Akira, 8Base et Black Basta.
Les experts de la société de cybersécurité Symantec indiquent que Mistic a été utilisé lors d’intrusions depuis le mois d’avril.
Dans au moins un incident, ce backdoor a été déployé peu de temps après ModeloRAT, un autre outil attribué à KongTuke qui est habituellement livré via des attaques d’ingénierie sociale sur Microsoft Teams.
Symantec estime que Mistic est un backdoor furtif et nouvellement développé, qui est conçu pour maintenir une persistance à long terme dans les réseaux compromis.
La chaîne d’attaque de Mistic
Dans les attaques étudiées par Symantec, l’infection a démarré avec le lancement de l’exécutable légitime MpExtMs.exe. Ce programme a servi à effectuer un side-loading d’une DLL malveillante nommée version.dll, qui joue le rôle de chargeur pour Mistic (EndpointDlp.dll).
Les chercheurs font remarquer que le nom de fichier choisi pour Mistic évoque celui des outils de sécurité Microsoft pour les terminaux, ce qui peut aider le malware à se confondre avec des logiciels de confiance sur l’hôte.
Une DLL .NET distincte est également chargée. Elle affiche un faux écran de connexion à la victime pour voler ses identifiants de compte.
Une fois chargé, Mistic communique avec son infrastructure de commandement et contrôle et il peut recevoir des commandes de l’opérateur. Symantec liste les capacités suivantes :
- Télécharger ou envoyer des fichiers, les déplacer, les renommer, les supprimer, et créer des dossiers
- Modifier la fréquence à laquelle Mistic vérifie la présence de commandes depuis le serveur de commandement et contrôle
- Exécuter du code reçu du serveur C2 directement en mémoire
- Se terminer lui-même et supprimer des fichiers de la machine hôte
Selon l’analyse de Symantec, Mistic semble avoir été conçu pour la furtivité. Il permet aux attaquants de conserver un point d’ancrage persistant dans les réseaux compromis pendant des périodes prolongées.
« Le backdoor exécute ses charges utiles en mémoire sans écrire de fichier sur le disque. Il inclut aussi un interrupteur d’arrêt qui lui permet de s’auto-supprimer. Ce sont des fonctionnalités cohérentes avec un opérateur qui cherche un accès durable et discret », expliquent les chercheurs.
Symantec ne fournit pas de détails sur le début de l’infection, mais KongTuke est connu pour utiliser ClickFix, ainsi que ses variantes FileFix et CrashFix, depuis début 2025 pour livrer le malware ModeloRAT.
Dans un rapport technique publié cette semaine, la société de sécurité cloud Zscaler note que Mistic, qu’elle suit sous le nom de MTLBackdoor, a été livré comme charge utile dans une chaîne d’infection multi-étapes de ClickFix au mois de mai.
Les chercheurs de Zscaler déclarent que « l’une des fonctionnalités les plus puissantes de MTLBackdoor est sa capacité à charger des Beacon Object Files pour étendre ses capacités. »
Les BOFs sont de petits programmes en C qui peuvent s’exécuter directement dans la mémoire d’un processus de commandement et contrôle. Ils ne laissent aucune trace sur le disque et échappent à la détection des agents de sécurité. Ils sont courants dans les produits des équipes rouges, comme Cobalt Strike, pour la phase de post-exploitation.
Symantec estime que Mistic confirme la tendance observée d’utilisation d’outils sur mesure dans les attaques par rançongiciel. Le backdoor semble cependant avoir été développé par un courtier en accès initial qui est étroitement connecté à la scène des rançongiciels.
KongTuke est connu pour utiliser de nombreux autres outils, comme les environnements légitimes WinPython et Node.js pour exécuter du code malveillant, l’utilitaire finger.exe pour récupérer des charges utiles obfusquées, la fausse extension de navigateur NexShield, la charge utile .NET chiffrée GateKeeper, ainsi que les chargeurs de malware MintsLoader et D3F@ck Loader pour livrer des charges supplémentaires.
Les rapports de Zscaler et de Symantec fournissent tous deux des indicateurs de compromission pour le malware Mistic/MTLBackdoor. Ils soulignent que c’est un outil furtif qui peut étendre ses fonctionnalités.