Porte dérobée mystérieuse
Une porte dérobée sophistiquée connue sous le nom de Mistic, également référencée sous le nom de MLTBackdoor, a fait son apparition dans une vague de cyberattaques à motivation financière présumée, actives depuis avril 2026. Ce logiciel malveillant a été détecté lors d'attaques contre des organisations opérant dans les secteurs de l'assurance, de l'éducation, des technologies de l'information et des services professionnels.
Des chercheurs en sécurité ont établi un lien entre cette opération et le courtier d'accès initial (IAB) KongTuke, également connu sous plusieurs alias, dont 404 TDS, Chaya_002, LandUpdate808, TAG-124 et Woodgnat. Lors de ces intrusions, Mistic a été déployé conjointement avec ModeloRAT, un cheval de Troie d'accès à distance basé sur Python et précédemment attribué au même acteur malveillant.
Table des matières
Conçu pour une utilisation discrète et un accès à long terme
Mistic se distingue par sa capacité à fonctionner entièrement en mémoire sans écrire de fichiers sur disque, ce qui réduit considérablement les risques de détection. Ce logiciel malveillant intègre également un mécanisme d'autodestruction lui permettant de s'effacer en cas de besoin. Ces caractéristiques suggèrent que ses opérateurs cherchent à maintenir un accès persistant et discret aux environnements compromis.
Pour éviter d'attirer l'attention, le logiciel malveillant utilise des techniques de chargement latéral de DLL, exploitant l'utilitaire de sécurité légitime des terminaux de Microsoft, MpExtMs.exe, pour se fondre dans l'activité normale du système.
L’évolution des campagnes de livraison ClickFix
ModeloRAT a été repéré pour la première fois en janvier 2026 lors d'une enquête sur une variante de la campagne ClickFix, connue sous le nom de CrashFix. Dans cette opération, des membres de KongTuke ont diffusé une extension malveillante pour Google Chrome, déguisée en bloqueur de publicités. Cette extension provoquait intentionnellement le plantage des navigateurs des victimes, puis les incitait à exécuter des commandes malveillantes sous prétexte d'effectuer une analyse de sécurité.
Une autre campagne de ClickFix utilisait une approche différente : elle incitait les victimes à exécuter des commandes effectuant une recherche DNS (Domain Name System). Cette requête DNS servait ensuite à récupérer la charge utile suivante, transformant ainsi le DNS en un mécanisme de transit et de signalisation simplifié pour les attaquants.
En juin 2026, des chercheurs ont également mis en évidence l'utilisation de ClickFix comme mécanisme de diffusion pour Mistic, attribuant cette activité à un acteur de la menace associé aux ransomwares tentant de prendre pied et de faciliter les déplacements latéraux à travers les réseaux.
Capacités qui rendent Mistic extrêmement dangereux
La porte dérobée offre un large éventail de fonctions généralement associées aux logiciels malveillants d'accès à distance avancés, notamment :
Téléchargement et chargement de fichiers, création de dossiers, déplacement, renommage ou suppression de fichiers.
Exécution directe de code malveillant en mémoire, chargement de fichiers objets Beacon pour étendre les fonctionnalités, modification des intervalles d'interrogation des commandes, et auto-arrêt et suppression pour éliminer les preuves.
Ciblage opportuniste et liens avec les ransomwares
La campagne semble privilégier un modèle opportuniste plutôt que de se concentrer sur un seul secteur d'activité. Les attaquants compromettraient un large éventail d'organisations, puis évalueraient quelles victimes pourraient offrir des opportunités d'accès lucratives à d'autres cybercriminels.
Les chercheurs ont également observé ModeloRAT dans des attaques qui ont finalement abouti au déploiement du ransomware Qilin, renforçant ainsi le lien entre les courtiers d'accès initiaux et les opérateurs de ransomware.
L’arsenal croissant de techniques d’ingénierie sociale de KongTuke
KongTuke exploite un système sophistiqué de distribution de trafic (TDS) construit sur des sites WordPress compromis. Cette infrastructure sert à présenter des leurres en constante évolution qui redirigent les visiteurs non avertis vers des chaînes de diffusion de logiciels malveillants.
Plus récemment, les sociétés de sécurité Rapid7 et ReliaQuest ont signalé que l'attaquant a modifié sa tactique en envoyant des messages Microsoft Teams depuis de faux comptes de « support informatique ». Ces messages déclenchent une chaîne d'attaques qui aboutit au déploiement de ModeloRAT.
Une tendance croissante dans le développement de logiciels malveillants personnalisés
La sophistication de Mistic et l'implication présumée de Woodgnat dans le développement de ModeloRAT indiquent la présence d'un groupe hautement qualifié, spécialisé dans les outils d'accès à distance furtifs. L'apparition de Backdoor.Mistic reflète également une tendance plus générale du secteur, où les opérations de ransomware s'appuient de plus en plus sur des logiciels malveillants sur mesure, des utilitaires d'exfiltration et des outils d'accès spécialisés.
Les éléments actuels suggèrent que Mistic est probablement le fruit d'une collaboration entre des courtiers en accès et des affiliés de ransomware plutôt qu'un outil développé directement par un groupe de ransomware lui-même.
