Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Backdoor.Mistic усиливает атаки Woodgnat и связку с Qilin

3 мин
Backdoor.Mistic — новая обнаруженная backdoor-программа, активная с апреля 2026 года, которую преимущественно использует хакерская группировка Woodgnat, также известная как KongTuke. По данным отчета, этот инструмент связан с различными ransomware-операциями, прежде всего с Qilin, и часто разворачивается совместно с ModeloRAT — Python-based RAT для удаленного доступа. Анализ показывает, что Woodgnat действует как поставщик первоначального доступа, а не как группа, которая непосредственно доставляет финальную вредоносную нагрузку. Иными словами, ее задача — закрепиться в инфраструктуре жертвы, обеспечить устойчивый remote access и затем передать этот доступ аффилиатам ransomware-операторов. Для установки backdoor используется техника sideloading. В этой цепочке задействуется легитимный файл MpExtMs.exe, который инициирует загрузку вредоносной DLL-библиотеки EndpointDlp.dll. Такой подход позволяет Mistic маскироваться под доверенное программное обеспечение и тем самым снижать риск обнару
Оглавление

Backdoor.Mistic — новая обнаруженная backdoor-программа, активная с апреля 2026 года, которую преимущественно использует хакерская группировка Woodgnat, также известная как KongTuke. По данным отчета, этот инструмент связан с различными ransomware-операциями, прежде всего с Qilin, и часто разворачивается совместно с ModeloRAT — Python-based RAT для удаленного доступа.

Анализ показывает, что Woodgnat действует как поставщик первоначального доступа, а не как группа, которая непосредственно доставляет финальную вредоносную нагрузку. Иными словами, ее задача — закрепиться в инфраструктуре жертвы, обеспечить устойчивый remote access и затем передать этот доступ аффилиатам ransomware-операторов.

Как работает Backdoor.Mistic

Для установки backdoor используется техника sideloading. В этой цепочке задействуется легитимный файл MpExtMs.exe, который инициирует загрузку вредоносной DLL-библиотеки EndpointDlp.dll. Такой подход позволяет Mistic маскироваться под доверенное программное обеспечение и тем самым снижать риск обнаружения.

После запуска backdoor получает команды с C2-сервера и выполняет их полностью в памяти, без записи файлов на диск. Это повышает скрытность, затрудняет форензику и помогает сохранять доступ к системе в течение более длительного времени.

  • manipulation with files;
  • execution of commands;
  • self-destruction via kill switch.

Наличие kill switch указывает на продуманную архитектуру вредоносного кода: оператор может отключить backdoor, если это потребуется для сохранения операции или сокрытия следов.

Тактика Woodgnat: от социальной инженерии до living-off-the-land

Операции Woodgnat характеризуются оппортунистическими атаками на разные сектора, включая страхование, образование, ИТ и профессиональные услуги. Это говорит не о фокусе на одной отрасли, а о стремлении получить доступ к высокоценным организациям в целом.

Группа использует широкий набор техник, среди которых:

  • social engineering для обмана пользователей и принуждения их к запуску вредоносных PowerShell-команд;
  • WinPython для запуска ModeloRAT;
  • Node.js для выполнения JavaScript и командной цепочки;
  • living-off-the-land-подход с использованием встроенных средств Windows;
  • Net.exe для reconnaissance;
  • Curl для exfiltration данных.

Особое внимание в отчете уделяется устойчивости операций Woodgnat. Группа поддерживает несколько путей C2 и использует зашифрованные коммуникации, особенно в случаях, когда жертва не присоединена к domain. Это демонстрирует высокий уровень подготовки и стремление затруднить обнаружение и блокировку инфраструктуры.

Почему Backdoor.Mistic важен для threat landscape

Появление Backdoor.Mistic отражает заметную тенденцию в развитии cyber threat landscape: злоумышленники все чаще используют custom malware, созданный специально под конкретные операции ransomware. Такой подход усложняет защиту, поскольку атакующие отходят от reliance на массово используемые dual-use tools и переходят к более специализированным инструментам.

Woodgnat, по оценке отчета, остается значимым adversary, за которым необходимо следить. Его способность адаптироваться, выстраивать долгосрочный доступ и тесно сотрудничать с аффилиатами ransomware-групп делает его важным элементом современной экосистемы киберугроз.

Woodgnat позиционируется как значимый злоумышленник, за которым необходимо следить, особенно в том, как он может адаптироваться и внедрять инновации в сотрудничестве с аффилированными лицами программ-вымогателей.

В совокупности Backdoor.Mistic и сопутствующие инструменты, такие как ModeloRAT, показывают, что киберпреступные операции становятся все более гибкими, скрытными и технологически зрелыми. Для defenders это означает необходимость уделять особое внимание поведению в памяти, цепочкам sideloading, необычной активности PowerShell, а также аномалиям в использовании Net.exe, Curl и Node.js.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Backdoor.Mistic усиливает атаки Woodgnat и связку с Qilin".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются