A ameaça vinculada ao grupo KongTuke opera inteiramente na memória e carrega módulos dinâmicos via C2, abrindo caminho para infecções secundarias e ações de ransomware.
| Componente | Backdoor Mistic (também rastreada como MLTBackdoor ou Backdoor.Mistic) e ModeloRAT |
| Vetor | Campanhas de engenharia social baseadas em ClickFix (ex: CrashFix), sistemas de distribuição de tráfego comprometidos e mensagens maliciosas no Microsoft Teams |
| Impacto | Execução de código em memória sem artefatos no disco, carregamento de Beacon Object Files (BOFs), persistência de longo prazo e movimentação lateral preparatória para implantação de ransomware |
| Prioridade | Monitorar anomalias no processo de segurança legítimo MpExtMs.exe, auditar extensões de navegador suspeitas, analisar volumes anômalos de requisições DNS e reforçar a triagem contra falsos suportes de TI |
A ameaça cibernética documentada introduz uma nova backdoor stealth designada como Mistic, também referida na comunidade de inteligência de ameaças como MLTBackdoor ou Backdoor.Mistic. A estrutura maliciosa tem sido ativamente implantada em uma série de ataques motivados financeiramente desde meados de 2026. Os operadores visam de forma oportunística organizações que atuam em diversos setores fundamentais do mercado, estabelecendo uma presença inicial silenciosa no ambiente comprometido. A análise forense revela que as vítimas notificadas abrangem instituições de seguros, entidades educacionais, empresas de tecnologia da informação e organizações de serviços profissionais, evidenciando uma abordagem de projeção ampla na tentativa de capturar o maior número de endpoints vulneráveis possível.
A campanha tem fortes laços operacionais com o agente de acesso inicial rastreado como KongTuke, que também responde por múltiplos aliases, incluindo 404 TDS, Chaya_002, LandUpdate808, TAG-124 e Woodgnat. Historicamente, esse mesmo coletivo de ameaças é responsável pela arquitetura e disseminação do ModeloRAT, um cavalo de Tróia de acesso remoto desenvolvido na linguagem Python. A intersecção entre Mistic e ModeloRAT indica uma estratégia evolutiva por parte dos desenvolvedores, que aprimoraram suas ferramentas para garantir invisibilidade contínua e funcionalidades avançadas de controle sobre as máquinas invadidas. O objetivo central do grupo é manter um domínio prolongado e de baixa visibilidade, facilitando a futura venda de credenciais e acessos aprovados no mercado clandestino para afiliados de ransomware, notavelmente ligados ao grupo Qilin.
O mecanismo inicial de infecção utiliza as chamadas campanhas ClickFix, um vetor de engenharia social elaborado em que os atacantes manipulam a interface ou o comportamento do navegador da vítima para induzir a execução de cargas maliciosas. Uma variante notória dessa tática, rastreada como CrashFix, emprega uma extensão maliciosa para o Google Chrome disfarçada como um utilitário de bloqueio de anúncios. Está extensão foi codificada para causar o travamento intencional do navegador web. Quando a aplicação fecha de forma inesperada, o usuário é apresentado a um aviso falso de verificação de segurança ou correção de erro instigando-o a copiar e colar comandos que baixam e executam a próxima etapa do ataque sob pretexto de resolução de problemas.
Paralelamente, infecções relacionadas a este ecossistema utilizam técnicas avançadas de redirecionamento de DNS para eludir filtros tradicionais de rede. Em vez de depender exclusivamente de requisições HTTP clássicas, o operador envia comandos que forçam a máquina a executar consultas do Sistema de Nomes de Domínio (DNS) para encontrar o servidor de gestão da infecção. O DNS atua como um canal de comunicação leve e de baixa detecção para habilitar a entrega do payload subsequente. Uma vez que o código chega ao sistema destino, a implantação da backdoor Mistic lança mão da técnica de DLL side-loading. Para iludir mecanismos de defesa baseados em assinaturas, o malware sequestra um executável legítimo pertencente a uma solução de segurança de endpoint amplamente confiada, referenciado no ambiente como MpExtMs.exe, carregando uma biblioteca maliciosa contígua que assimila o processo benigno e ganha privilégios para rodar no contexto de sistema.
Após a injeção bem-sucedida, a arquitetura fundamental do Mistic garante uma operação quase completamente à prova de investigações padrão em disco. O malware roda seus dados e rotinas de processamento na memória volátil do computador (RAM), eliminando a necessidade de gravar binários no disco rígido. Está abordagem reduz drasticamente as chances de detecção por soluções de varredura de arquivos. A backdoor possui funcionalidades extremamente flexíveis, incluindo a capacidade de alterar dinamicamente o intervalo de tempo no qual a máquina invadida se comunica com a infraestrutura de Comando e Controle (C2). Além da execução clássica de fluxo de código recebido via rede, a infecção pode receber e instanciar Beacon Object Files (BOFs). Estes são objetos compilados que expandem ou alteram a capacidade da infecção em tempo real sem requerer o download de um novo executável completo, permitindo emular táticas pós-exploração nativas de ferramentas de red team sem deixar rastros estáticos.
A exploração não se limita a um setor isolado, focando em alvos que provavelmente possuem orçamentos de segurança limitados ou gerenciamento de identidade frouxo, como organizações do setor de seguros, instituições de educação, provedores de tecnologia da informação e serviços de consultoria profissional. A infraestrutura de ataque depende fortemente de um Sistema de Distribuição de Tráfego (TDS) operado pelos atacantes, que corrói instalações legítimas de blogs e portais baseados em WordPress em toda a internet. Estes sites comprometidos servem de porta de entrada silenciosa, redirecionando visitantes para páginas controladas pelos invasores onde as falsas validações do ClickFix ou CrashFix são exibidas.
Recentemente, a tática de infecção demonstrou um desvio significativo no perfil de engenharia social usada para comprometer as equipes internas. Em vez de focar apenas na navegação web do dia a dia, os atacantes estão emitindo requisições falsas de suporte diretamente através do cliente Microsoft Teams. O agente malicioso cria ou sequestra contas fingindo pertencer à equipe de Help Desk corporativo, enviando mensagens que aplicam coerção psicológica para que o colaborador execute scripts de validação que injetam o ModeloRAT no ambiente, abrindo brechas para a posterior imantação da backdoor Mistic.
- Usuários corporativos expostos a navegação não monitorada em portais afetados pelo sistema TDS KongTuke.
- Endpoints com permissões QApplication inseguras permitindo a execução de extensões maliciosas no Google Chrome.
- Ambientes corporativos onde a ferramenta de colaboração Microsoft Teams aceita mensagens de usuários externos não verificados.
- Servidores e máquinas de trabalho utilizando software de segurança vulnerável à varredura de processo para abuso via DLL side-loading.
Analistas de detecção e equipes de interventions forense devem adaptar seus ambientes de monitoramento para identificar traços comportamentais característicos desta campanha. A inspeção de eventos baseados em memória é crítica, assim como o monitoramento rigoroso de comportamentos anômalos envolvendo arquivos de assinatura digital legítima. A correlação de logs de rede deve ser ajustada para revelar fluxos de dados ocultos em canais não convencionais.
Crie monitoramento ativo para requisições de DNS de baixa entropia ou padrões numa alta taxa de falhas NXDOMAIN seguidas de conexões de download incomuns. Inspecione minuciosamente a árvore genealógica de processos, visando子女 processos anômalos originados pelo MpExtMs.exe, o que indicará fortemente a exploração de side-loading.
- Investigar a presença de sub-processos de linha de comando anormais (ex: PowerShell, Windows Script Host) originados a partir de
MpExtMs.exe. - Monitorar interações estranhas envolvendo o Microsoft Teams originadas de contas externas não autorizadas que compartilham arquivos
.pyou scripts de automação. - Mapear extensões instaladas nos navegadores corporativos (como Google Chrome) focando em?????????? bloqueadores de anúncios desconhecidos ou alterações de código em execução de origem não listada.
- Procurar anomalias de tráfego de rede caracterizadas por consultas de DNS constantes para um curto conjunto de domínios de baixa reputação, possivelmente mascarando um canal de estagiamento e comunicação C2.
- Auditoria em memória RAM em busca de processos com alocações anormais correspondentes a instâncias dinâmicas de Beacon Object Files (BOFs).
O foco das equipes de resposta a incidentes deve ser romper precoceente a cadeia de execução e isolar os vetores de contato social utilizados pelos ataques. As organizações precisam entrevistar controles de comunicação corporativa de chat e impor políticas rígidas de execução de aplicação de extensões de navegadores modernos. A inconsistência do acesso inicial explorado pelo grupo KongTuke demonstra que a mitigação não deve depender unicamente de assinaturas de arquivos estáticos, mas de heurística de comportamento em execução na máquina local.
Inicie o processo de triagem analisando os relatórios de uso de equipes permitindo-proibindo externos no Microsoft Teams e estabeleça controles limitando a execução de scripts via CLI por usuários comuns sem elevação de privilégios. Faça o isolamento de rede imediato de máquinas confirmadas ou suspeitas de infecção para bloquear a comunicação com a infraestrutura C2. Uma verificação de histórico de técnica de comunicação DNS deve ser conduzida para verificar o vazamento de informações.
- Restringir severamente as permissões e instalar bloqueadores de política corporativa para impedir a instalação de extensões não verificadas em navegadores web gerenciados.
- Definir uma rigorosa política anti-spam e de federação de conta externa no Microsoft Teams bloqueando usuários não corporativos de iniciar chats com colaboradores.
- Ativar rigores de Application Control (como AppLocker ou WDAC) para negar a execução de binários ou scripts se originando do diretório de gravação do usuário como
%AppData%. - Educar continuamente a equipe sobre táticas de falsos centros de suporte, avisando que travamentos comportamentais e pedidos de digitação de códigos em telas de erro não são práticas legítimas de segurança.
- Colher amostras de memória volátil das máquinas suspeitas para preservar evidências de Mistic e ModelRAT, antes de submeter o computador a um processo de re-imaging padronizado.
0 Comentários