Um backdoor stealth denominado Mistic (MLTBackdoor) está sendo implantado desde abril de 2026 por um grupo de venda de acesso inicial ligado ao operador KongTuke (Woodgnat). A ferramenta, identificada pelas equipes da Symantec e Carbon Black (Broadcom), opera inteiramente em memória sem gravar arquivos no disco e já foi detectada em ataques a organizações de seguros, educação, TI e serviços profissionais.
Como o Mistic opera
O backdoor utiliza DLL side-loading para carregar o processo legítimo MpExtMs.exe — ferramenta de segurança do Microsoft Defender — e executar código malicioso em seu contexto. Toda a execução ocorre na memória, sem artefatos em disco. Entre as capacidades do Mistic estão: upload e download de arquivos, movimentação e exclusão de arquivos, execução de código recebido do servidor C2 diretamente em memória e carregamento dinâmico de Beacon Object Files (BOFs) para expandir funcionalidades.
O malware inclui um kill switch que permite ao operador encerrar e deletar a si próprio, eliminando qualquer rastro quando o acesso não é mais necessário.
A cadeia de entrega ClickFix
O acesso inicial ocorre por campanhas ClickFix — técnica que engana o usuário a executar comandos no terminal sob o pretexto de correção de segurança. Em uma variante chamada CrashFix, o grupo usa uma extensão maliciosa do Chrome que provoca crash do navegador e exibe mensagens falsas de verificação. Em outra variante, consultas DNS servem como canal de staging para baixar payloads subsequentes.
A partir do acesso inicial, o Mistic é deployado junto com o ModeloRAT, um RAT em Python também atribuído ao KongTuke. ModeloRAT já foi observado em ataques que resultaram no deploy do ransomware Qilin.
O ecossistema KongTuke
KongTuke opera como intermediário de acesso inicial (IAB) para múltiplas famílias de ransomware: Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta. O grupo mantém um sistema de distribuição de tráfego (TDS) construído sobre sites WordPress comprometidos, usando lures variadas para redirecionar visitantes para malware. Em maio de 2026, o grupo passou a enviar mensagens via Microsoft Teams fingindo ser suporte de TI para iniciar a cadeia de ataque.
| Atributo | Detalhe |
|---|---|
| Nome | Mistic / MLTBackdoor |
| Operador | KongTuke (Woodgnat, 404 TDS, TAG-124) |
| Vetor inicial | ClickFix / CrashFix |
| Técnica de execução | DLL side-loading via MpExtMs.exe |
| Persistence | Fileless — execução apenas em memória |
| Ransomware associado | Qilin, Interlock, Rhysida, Akira, 8Base, Black Basta |
| Setores alvo | Seguros, educação, TI, serviços profissionais |
Como se proteger
- Treine usuários a não executar comandos no terminal sugeridos por páginas web ou pop-ups — especialmente sob pretexto de “verificação de segurança”
- Monitore processos do Microsoft Defender (
MpExtMs.exe) com comportamento anômalo ou consumo incomum de memória - Restrinja instalação de extensões de navegador via política corporativa e audite extensões instaladas
- Implemente proteção contra DLL side-loading, incluindo Application Control (como WDAC) e monitoramento de carregamento de bibliotecas
- Monitore mensagens suspeitas no Microsoft Teams vindas de contas externas ou não verificadas