Una nueva puerta trasera sigilosa llamada místicamente se ha implementado como parte de presuntos ataques con motivación financiera dirigidos a múltiples organizaciones que abarcan los sectores de seguros, educación, TI y servicios profesionales desde abril de 2026.
Según Symantec y el equipo Threat Hunter de Carbon Black, se dice que la puerta trasera, también rastreada como MLTBackdoor, está vinculada a un corredor de acceso inicial (IAB) llamado KongTuke (también conocido como 404 TDS, Chaya_002, LandUpdate808, TAG-124 y Woodgnat), y se eliminó junto con ModeloRAT, un troyano de acceso remoto (RAT) de Python previamente atribuido al grupo.
“La puerta trasera ejecuta cargas útiles en la memoria sin ningún archivo escrito en el disco e incluye un interruptor de apagado que le permite eliminarse a sí mismo, que son características consistentes con un operador que busca acceso a largo plazo y de baja visibilidad”, dijeron los equipos de ciberseguridad de Broadcom en un informe compartido con The Hacker News.
ModeloRAT fue señalado por primera vez por Huntress en enero de 2026 en relación con una variante de una campaña de ClickFix denominada CrashFix, en la que los actores de KongTuke utilizaron una extensión maliciosa de Google Chrome disfrazada de bloqueador de anuncios para bloquear intencionalmente el navegador web de una víctima y engañarla para que ejecutara comandos arbitrarios con el pretexto de ejecutar un análisis de seguridad.
El malware también se distribuyó en una campaña ClickFix diferente que implicó la ejecución de comandos que llevaban a cabo una búsqueda del Sistema de nombres de dominio (DNS) para recuperar la carga útil de la siguiente etapa, y Microsoft señaló que la cadena de ataque utiliza DNS como un “canal ligero de preparación o señalización”.
Zscaler ThreatLabz destacó el uso de ClickFix por parte de Mistic como vector de entrega a principios de este mes, atribuyendo la actividad a un actor de amenazas relacionado con ransomware para establecer un punto de apoyo para el movimiento lateral.
Los últimos hallazgos de Broadcom muestran que el malware se basa en técnicas de carga lateral de DLL, utilizando herramientas confiables de seguridad de endpoints de Microsoft (“MpExtMs.exe”) para integrarse y evitar generar señales de alerta. La puerta trasera se ejecuta directamente en la memoria, lo que permite una amplia gama de capacidades típicamente asociadas con una familia de malware de este tipo.
- Cargar o descargar un archivo
- Mover, cambiar el nombre o eliminar un archivo
- Crear una carpeta
- Modificar el intervalo de tiempo después del cual sondea un servidor remoto en busca de comandos
- Ejecute el código recibido de C2 en la memoria sin dejar ningún artefacto en el disco
- Cargue archivos de objetos de baliza (BOF) para expandir dinámicamente sus capacidades
- Terminar y eliminarse
“El objetivo parece ser oportunista, ya que los atacantes lanzan una amplia red y luego evalúan a qué organizaciones podrían vender acceso en lugar de centrarse en un solo sector”, dijeron Symantec y Carbon Black, y agregaron que ModeloRAT se ha observado en ataques que implementaron el ransomware Qilin.
Se sabe que KongTuke opera un sistema de distribución de tráfico (TDS) construido en sitios de WordPress comprometidos, usándolo para servir un conjunto de señuelos en constante evolución que llevan a los visitantes desprevenidos del sitio al malware. El mes pasado, Rapid7 y ReliaQuest revelaron que el actor de amenazas pasó a enviar mensajes de Microsoft Teams desde una cuenta de soporte de TI falsa para desencadenar una cadena de ataque que conduce a la implementación de ModeloRAT.
“El sigilo de la puerta trasera también es notable, al igual que el hecho de que Woodgnat también esté posiblemente detrás del desarrollo de ModeloRAT, lo que indica un grupo que está muy capacitado en el desarrollo de herramientas de acceso remoto sigiloso”, dijo Broadcom.
“El uso de herramientas personalizadas en ataques de ransomware se está convirtiendo en un fenómeno más común, con múltiples ejemplos de grupos de ransomware que utilizan exfiltración personalizada y otras herramientas en los últimos tiempos. Backdoor.Mistic parece ser una continuación de esta tendencia, aunque parece probable que haya sido desarrollado por agentes de acceso que trabajan con afiliados de ransomware en lugar de un grupo de ransomware en sí”.
