DeafNews
// 3 ZERO-DAY · 4 CVE · 2 EXPLOIT NELLE ULTIME 24H
Malware

Mistic: il backdoor in-memory di KongTuke che sfida gli EDR

Published: Updated: By DeafSuite team 7 min read Malware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Mistic, backdoor stealth operativo da aprile 2026, usa DLL sideloading e BOF in-memory per persistenza a lungo termine. Venduto a sei gruppi ransomware.

L'initial access broker KongTuke, attivo dal maggio 2024, ha iniziato a distribuire Mistic nell'aprile 2026. Il backdoor — tracciato anche come MTLBackdoor da Zscaler — esegue payload in memoria senza scrivere file su disco e si presenta con nomi che mimetizzano componenti Microsoft di sicurezza endpoint. Symantec e Zscaler hanno documentato l'operatore mentre vende l'accesso a sei gruppi ransomware.

Punti chiave
  • Mistic è operativo dall'aprile 2026 come backdoor di KongTuke/Woodgnat, IAB attivo dal maggio 2024
  • Utilizza DLL sideloading tramite MpExtMs.exe legittimo e caricamento di EndpointDlp.dll con nomi Microsoft-like
  • Esegue payload in-memory con kill switch per auto-eliminazione, riducendo la superficie di rilevamento su disco
  • Zscaler conferma capacità di caricamento dinamico di Beacon Object Files (BOF) per espandere funzionalità post-exploitation
  • KongTuke vende accesso a sei gruppi ransomware: Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta

La catena di infezione: da MpExtMs.exe all'esecuzione fantasma

Il meccanismo di Mistic si articola in tre stadi visibili nei report di Symantec e GBHackers. L'infezione inizia con il lancio dell'eseguibile legittimo MpExtMs.exe, che carica via sideloading una DLL maligna denominata version.dll. Questa seconda fase a sua volta esegue EndpointDlp.dll, che costituisce il payload principale di Mistic.

Il nome scelto per il file — EndpointDlp.dll — riproduce la convenzione dei tool Microsoft di protezione endpoint. Secondo Symantec, "il backdoor esegue payload in memoria senza scrivere file su disco e include un kill switch che gli permette di cancellarsi". Questa architettura priva gli analisti di artefatti su disco tradizionali: nessun file da estrarre per reverse engineering statico, nessun residuo per hash-based detection.

I gruppi ransomware in fila: sei clienti confermati

KongTuke monetizza l'accesso attraverso un modello di brokerage consolidato. BleepingComputer, SecurityWeek e GBHackers convergono nell'individuare sei gruppi ransomware che acquistano accesso dall'IAB: Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta. La molteplicità dei clienti ha un effetto collaterale specifico: le stesse infrastrutture bersaglio possono subire più attacchi indipendenti, ciascuno con proprie procedure di cifratura e negoziazione.

L'ampiezza del targeting riflette la logica dell'IAB. Secondo i ricercatori di Broadcom citati da SecurityWeek, "il targeting appare opportunistico: gli attaccanti gettano una rete ampia e valutano quali organizzazioni possono vendere, piuttosto che concentrarsi su un singolo settore". I quattro settori toccati includono assicurazioni, istruzione, IT e servizi professionali.

La cassetta degli attrezzi di KongTuke: da ClickFix a Teams

KongTuke ha costruito un ecosistema di strumenti complementari che precede o accompagna Mistic. Le tecniche di social engineering documentate dal 2025 includono ClickFix, FileFix e CrashFix — tutte varianti che inducono la vittima a eseguire codice con privilegi elevati. Dal aprile 2026, l'operatore ha aggiunto Microsoft Teams come vettore di contatto iniziale, impersonando helpdesk IT per stabilire fiducia prima della consegna del payload.

In almeno un incidente analizzato da Symantec, Mistic è stato distribuito dopo ModeloRAT, altro backdoor attribuito a KongTuke. ModeloRAT viaggia in pacchetti WinPython portatili ed esegue via pythonw.exe firmato, un pattern che sfrutta la firma legittima per eludere i controlli di application whitelisting.

"Una delle funzionalità più potenti [di MTLBackdoor] è la capacità di caricare Beacon Object Files (BOF) per espandere le sue funzionalità" — Zscaler researchers (via BleepingComputer)

Cosa fare adesso

Le difese contro Mistic richiedono un riallineamento specifico sulle tecniche documentate nel brief. Ecco le azioni concrete:

  • Ispezire i processi MpExtMs.exe con DLL caricate anomale: verificare la presenza di version.dll o EndpointDlp.dll in percorsi non standard, dato che il sideloading documentato parte da questo eseguibile legittimo
  • Abilitare il logging in-memory e le telemetrie di behavioural analytics: poiché Mistic non scrive file su disco, la detection si sposta su pattern di injection e comunicazioni C2 anomale
  • Monitorare le comunicazioni Teams esterne con pretesto helpdesk: KongTuke ha iniziato a usare questo vettore nell'aprile 2026; filtrare i contatti da domini esterni che richiedono azioni immediate
  • Confrontare gli hash IoC pubblicati da Symantec e Zscaler: le due fonti primarie forniscono indicatori di compromissione specifici per Mistic/MTLBackdoor
  • Revisionare i pacchetti WinPython e le esecuzioni pythonw.exe in ambito enterprise: ModeloRAT, predecessore di Mistic in alcune catene, utilizza questo pattern di esecuzione

Domande frequenti

Mistic è una vulnerabilità con CVE o un malware?

Mistic è un backdoor custom, non una vulnerabilità software. Non esiste CVE associato nel dossier analizzato. La distribuzione avviene tramite ingegneria sociale e tecniche di sideloading, non sfruttando flaw nel codice delle applicazioni legittime.

Perché gli EDR tradizionali faticano a rilevare Mistic?

L'esecuzione in-memory elimina gli artefatti su disco tipici delle analisi forensi. I nomi Microsoft-like riducono i true positive nelle ricerche anomale. La capacità BOF consente inoltre di caricare funzionalità dinamiche senza modificare il file originale del backdoor.

KongTuke e Woodgnat sono la stessa entità?

I report di Symantec, SecurityWeek e GBHackers trattano KongTuke e Woodgnat come nomi alternativi per lo stesso initial access broker, attivo dal maggio 2024 con tecniche e infrastrutture sovrapposte.

Il contesto: perché gli IAB stanno vincendo la corsa all'accesso

Il modello di KongTuke illustra una tendenza strutturale nel ransomware enterprise: la separazione tra chi ottiene l'accesso e chi cifra i dati. Questa divisione del lavoro riduce il rischio operativo per entrambe le parti e aumenta la velocità di monetizzazione. I sei gruppi confermati come clienti di KongTuke — Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta — rappresentano una diversificazione che rende imprevedibile il payload finale per le vittime.

Il targeting opportunistico su quattro settori principali (assicurazioni, istruzione, IT, servizi professionali) massimizza la superficie di attacco senza richiedere investimenti in ricognizione mirata. Per le difese, questo significa che la provenienza geografica o settoriale non è un indicatore attendibile di esclusione dal rischio.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Sul tema

  • Prinz Eugen: il ransomware che cifra prima i file più recenti
  • OXLOADER: Google Ads malevoli congiano infostealer
  • WhatsApp weaponizzato: VBS e RMM in DM da contatti compromessi

Fonti

Fonti e riferimenti
  1. bleepingcomputer.com
  2. securityweek.com
  3. gbhackers.com
  4. cyberpress.org
  5. thehackernews.com
  6. nvd.nist.gov