Новый бэкдор Mistic, активный с апреля 2026 года, показал, как далеко продвинулись брокеры начального доступа в создании невидимых инструментов. Группировка KongTuke продаёт доступ к корпоративным сетям страховых компаний, учебных заведений, IT-фирм и сервисных организаций, не оставляя следов на диске. Специалисты Symantec, Carbon Black Threat Hunter Team (обе структуры Broadcom), Zscaler ThreatLabz, Huntress, Microsoft, Rapid7, ReliaQuest и The Hacker News разобрали этот кейс по частям, и картина получилась тревожной.
KongTuke — типичный представитель теневого рынка «доступ как услуга». Под разными именами — 404 TDS, Chaya_002, LandUpdate808, TAG-124, Woodgnat — эта группа с апреля 2026-го строит инфраструктуру на взломанных сайтах WordPress, где крутится Traffic Distribution System. Система постоянно меняет приманки и перенаправляет посетителей на вредоносные загрузки. По оценке Broadcom, операторы KongTuke «обладают высокой квалификацией в разработке скрытых инструментов удалённого доступа» и, вероятно, сами написали ModeloRAT.
За последний месяц KongTuke резко сместил вектор атаки: вместо привычных схем им рассылают сообщения в Microsoft Teams от фейковой учётной записи «IT Support». Цепочка заканчивается установкой ModeloRAT, что подтвердили независимо Rapid7 и ReliaQuest.
Mistic (он же MLTBackdoor, или
Вся эта конструкция указывает на долгосрочный, малозаметный доступ. Доставка идёт через ClickFix — социальную инженерию, где жертву обманом заставляют выполнить команду через диалог «Выполнить» или буфер обмена. Zscaler ThreatLabz прямо связал такую активность с операторами, связанными с программами-вымогателями, которые готовят почву для бокового перемещения по сети. Symantec и Broadcom уточнили: инструмент, скорее всего, создан именно брокерами доступа в связке с аффилиатами шифровальщиков, а не самими шифровальщиками напрямую. Это часть общего тренда: кастомные утилиты вместо готового малвари из даркмаркетов.
ModeloRAT, написанный на Python, впервые попал в публичное поле зрения в январе 2026 года благодаря исследователям Huntress. Тогда его распространяли через вариант ClickFix под названием CrashFix. Схема была грязной и одновременно простой: вредоносное расширение для Google Chrome маскировалось под блокировщик рекламы, намеренно роняло браузер и под предлогом «проверки безопасности» вынуждало пользователя запустить произвольную команду. Microsoft позже описал альтернативный путь, где команды выполняют DNS-запросы и тянут следующий этап через TXT-записи. Корпорация назвала это «облегчённым каналом staging или сигнализации». Сейчас ModeloRAT часто падает на машину вместе с Mistic, а в отдельных случаях наблюдается в цепочках, ведущих к развёртыванию шифровальщика Qilin.
Социальная инженерия меняет лицо буквально каждые несколько недель. Сначала были поддельные адблокеры для Chrome, потом DNS-инсценировки, теперь — фишинг в Microsoft Teams. При этом никакой конкретики в выборе жертв: KongTuke работает по принципу «широкой сети», оценивая выручку от перепродажи доступа постфактум. Для атакующих интересен любой сектор, где есть деньги или данные — страховка, образование, IT-аутсорсинг, профессиональные услуги.
Технические маркеры атаки собираются в понятную картину:
Главный вывод Broadcom звучит жёстко: Mistic — это инструмент брокера доступа, а не самой группировки вымогателей. KongTuke (Woodgnat) демонстрирует продвинутый уровень разработки стелс-RAT, что видно и по Mistic, и по ModeloRAT. Защитные механизмы выстроены вокруг легитимных бинарников Windows (Living-off-the-Land Binaries), бесфайлового исполнения и самоликвидации. Первоначальный доступ за считанные месяцы перебрался от SEO и WordPress-TDS к расширениям браузера, затем к DNS-стейджингу и, наконец, к фишингу в Microsoft Teams. Широкий, бессистемный охват питает рынок перепродажи доступов и в конечном счёте кормит операции программ-вымогателей, где Mistic и ModeloRAT всё чаще становятся разведкой перед шифровальщиками уровня Qilin.
KongTuke — типичный представитель теневого рынка «доступ как услуга». Под разными именами — 404 TDS, Chaya_002, LandUpdate808, TAG-124, Woodgnat — эта группа с апреля 2026-го строит инфраструктуру на взломанных сайтах WordPress, где крутится Traffic Distribution System. Система постоянно меняет приманки и перенаправляет посетителей на вредоносные загрузки. По оценке Broadcom, операторы KongTuke «обладают высокой квалификацией в разработке скрытых инструментов удалённого доступа» и, вероятно, сами написали ModeloRAT.
За последний месяц KongTuke резко сместил вектор атаки: вместо привычных схем им рассылают сообщения в Microsoft Teams от фейковой учётной записи «IT Support». Цепочка заканчивается установкой ModeloRAT, что подтвердили независимо Rapid7 и ReliaQuest.
Mistic (он же MLTBackdoor, или
Backdoor.Mistic) работает исключительно в оперативной памяти — ни одного файла на диске жертвы. Для маскировки малварь использует легитимный компонент Microsoft Defender под названием «MpExtMs.exe», подгружая через него вредоносную DLL. Есть встроенная кнопка самоуничтожения, поддержка Beacon Object Files (BOF) — тех самых модулей, знакомых по Cobalt Strike — и гибкие интервалы обращения к командному серверу. Функционал стандартный для такого класса инструментов: загрузка и выгрузка файлов, перемещение, переименование, удаление, создание папок, запуск кода прямо из памяти. Вся эта конструкция указывает на долгосрочный, малозаметный доступ. Доставка идёт через ClickFix — социальную инженерию, где жертву обманом заставляют выполнить команду через диалог «Выполнить» или буфер обмена. Zscaler ThreatLabz прямо связал такую активность с операторами, связанными с программами-вымогателями, которые готовят почву для бокового перемещения по сети. Symantec и Broadcom уточнили: инструмент, скорее всего, создан именно брокерами доступа в связке с аффилиатами шифровальщиков, а не самими шифровальщиками напрямую. Это часть общего тренда: кастомные утилиты вместо готового малвари из даркмаркетов.
ModeloRAT, написанный на Python, впервые попал в публичное поле зрения в январе 2026 года благодаря исследователям Huntress. Тогда его распространяли через вариант ClickFix под названием CrashFix. Схема была грязной и одновременно простой: вредоносное расширение для Google Chrome маскировалось под блокировщик рекламы, намеренно роняло браузер и под предлогом «проверки безопасности» вынуждало пользователя запустить произвольную команду. Microsoft позже описал альтернативный путь, где команды выполняют DNS-запросы и тянут следующий этап через TXT-записи. Корпорация назвала это «облегчённым каналом staging или сигнализации». Сейчас ModeloRAT часто падает на машину вместе с Mistic, а в отдельных случаях наблюдается в цепочках, ведущих к развёртыванию шифровальщика Qilin.
Социальная инженерия меняет лицо буквально каждые несколько недель. Сначала были поддельные адблокеры для Chrome, потом DNS-инсценировки, теперь — фишинг в Microsoft Teams. При этом никакой конкретики в выборе жертв: KongTuke работает по принципу «широкой сети», оценивая выручку от перепродажи доступа постфактум. Для атакующих интересен любой сектор, где есть деньги или данные — страховка, образование, IT-аутсорсинг, профессиональные услуги.
Технические маркеры атаки собираются в понятную картину:
- []Бинарник
MpExtMs.exe — легитимный компонент Microsoft Defender, используется для DLL Side-Loading (T1574.002). []Полностью безфайловое исполнение в памяти (T1055 / T1620), включая загрузку BOF.
[]Самоудаление по команде как мера антифорензики.
[]DNS-туннелирование для стейджинга ModeloRAT.
[]Расширения Google Chrome как плацдарм для CrashFix.
[]Microsoft Teams как новый канал фишинга.
[]Настраиваемый интервал обращения к C2 у Mistic.
MpExtMs.exe, бесфайловые техники, поддержку BOF и саму модель «брокер — аффилиат шифровальщика». Материал также попал в The Hacker News. Главный вывод Broadcom звучит жёстко: Mistic — это инструмент брокера доступа, а не самой группировки вымогателей. KongTuke (Woodgnat) демонстрирует продвинутый уровень разработки стелс-RAT, что видно и по Mistic, и по ModeloRAT. Защитные механизмы выстроены вокруг легитимных бинарников Windows (Living-off-the-Land Binaries), бесфайлового исполнения и самоликвидации. Первоначальный доступ за считанные месяцы перебрался от SEO и WordPress-TDS к расширениям браузера, затем к DNS-стейджингу и, наконец, к фишингу в Microsoft Teams. Широкий, бессистемный охват питает рынок перепродажи доступов и в конечном счёте кормит операции программ-вымогателей, где Mistic и ModeloRAT всё чаще становятся разведкой перед шифровальщиками уровня Qilin.