Một cửa hậu mới và khó bị phát hiện, được đặt tên là Mistic, đã âm thầm nhắm mục tiêu vào các mạng doanh nghiệp từ tháng 4 năm 2026. Nó ngụy trang bằng cách sử dụng tên và hình thức của các thành phần bảo mật điểm cuối hợp pháp của Microsoft. Kỹ thuật ngụy trang tinh vi này giúp nó tránh bị phát hiện, cho phép kẻ tấn công duy trì sự hiện diện dai dẳng, kín đáo trong các môi trường bị xâm nhập. Các đội an ninh mạng trên nhiều ngành công nghiệp hiện đang cảnh giác khi các sự cố liên tục xuất hiện, cho thấy mức độ nghiêm trọng của mối đe dọa.
Mistic: Backdoor Tinh Vi Trong Mạng Doanh Nghiệp
Mistic đã nhắm mục tiêu vào các tổ chức trong lĩnh vực bảo hiểm, giáo dục, công nghệ thông tin và dịch vụ chuyên nghiệp. Các cuộc tấn công có bản chất cơ hội, nghĩa là nhóm tội phạm mạng này nhắm mục tiêu rộng rãi và đánh giá xem mạng nào bị xâm nhập là đáng giá để bán quyền truy cập.
Quyền truy cập này sau đó được cung cấp cho các chi nhánh ransomware và các nhóm tội phạm khác, những kẻ sẵn sàng trả tiền để có được điểm vào đã chuẩn bị sẵn trong các hệ thống doanh nghiệp. Phân tích từ Symantec đã xác định được mối đe dọa này và liên kết nó với một nhóm tội phạm mạng có động cơ tài chính được theo dõi là Woodgnat, còn được gọi là KongTuke.
Phân tích Kỹ thuật của Mistic
Theo báo cáo của Symantec được chia sẻ với Cyber Security News, Đội ngũ Thợ săn Mối đe dọa của Symantec đã phát hiện Mistic được triển khai cùng với ModeloRAT. ModeloRAT là một công cụ truy cập từ xa (RAT) có liên quan đến các cuộc tấn công bao gồm Qilin, Akira, Rhysida, Black Basta, Interlock và 8Base. Mistic được Zscaler ghi nhận lần đầu và theo dõi là MLTBackdoor. Tuy nhiên, cuộc điều tra của Symantec đã đi sâu hơn, liên kết chặt chẽ hơn backdoor này với bộ công cụ đang phát triển của Woodgnat và xác nhận vai trò của nó trong một chuỗi cung ứng tội phạm rộng lớn hơn.
Mục tiêu chính của nhóm không phải là tự mình thực hiện cuộc tấn công cuối cùng, mà là bán quyền truy cập có giá trị cao cho các bên khác sẽ thực hiện điều đó. Điều này cho thấy một mô hình kinh doanh tội phạm có tổ chức, nơi các nhóm chuyên biệt hóa vào việc xâm nhập ban đầu và bán các điểm vào.
Phương Thức Hoạt Động Và Khả Năng Lẩn Tránh
Điểm nguy hiểm đặc biệt của Mistic nằm ở khả năng ẩn mình xuất sắc. Nó hoạt động hoàn toàn trong bộ nhớ mà không ghi bất kỳ tệp nào ra đĩa. Hơn nữa, Mistic có một cơ chế tự hủy tích hợp (kill switch) cho phép nó xóa sạch dấu vết khi không còn cần thiết. Những đặc điểm này khiến nó cực kỳ khó phát hiện và cho phép kẻ tấn công hoạt động một cách lặng lẽ trong mạng lưới trong thời gian dài.
Mistic tiếp cận mục tiêu của nó thông qua kỹ thuật gọi là DLL sideloading. Kỹ thuật này liên quan đến việc thao túng một tệp thực thi hợp pháp để nó tải một tệp độc hại. Trong các cuộc tấn công đã được điều tra, một tệp Microsoft có tên MpExtMs.exe đã được sử dụng để tải một DLL độc hại có tên EndpointDlp.dll. Tên này được chọn một cách có chủ đích vì nó trùng khớp với các công cụ bảo mật điểm cuối của Microsoft, giúp backdoor trông giống như phần mềm đáng tin cậy đang chạy.
Kiến Trúc Kỹ Thuật Của Mistic
Một bộ tải (loader) có tên version.dll đóng vai trò trung gian trong quá trình này. Nó móc nối (hook) hai hàm Windows là GetModuleFileNameW và LoadLibraryW. Việc này nhằm điều hướng quá trình thực thi tới DLL độc hại trong khi vẫn giữ nguyên vẻ ngoài bình thường của hệ thống. Một DLL riêng biệt được viết bằng .NET cũng được triển khai như một công cụ đánh cắp thông tin xác thực. Nó hiển thị một màn hình đăng nhập giả mạo để thu thập mật khẩu người dùng từ các nạn nhân không nghi ngờ.
Ngoài khả năng ẩn mình, Mistic còn sở hữu khả năng hoạt động mạnh mẽ. Nó có thể tải lên và tải xuống tệp, di chuyển hoặc xóa dữ liệu, tạo thư mục, thực thi mã từ xa trong bộ nhớ và điều chỉnh tần suất kiểm tra với máy chủ điều khiển và chỉ huy (C2) của kẻ tấn công. Điều này mang lại cho kẻ điều khiển khả năng kiểm soát mạnh mẽ đối với bất kỳ mạng nào mà chúng xâm nhập thành công.
Phương Thức Lây Lan Và Lừa Đảo Mới Nhất
Kể từ tháng 5 năm 2024, Woodgnat đã hoạt động và liên tục cải tiến các phương thức tấn công của mình. Nhóm này thường xuyên xâm nhập các trang web WordPress và tiêm mã JavaScript để thu thập thông tin về khách truy cập. Sau đó, họ sử dụng thông tin này để đẩy các chiêu lừa đảo kỹ thuật xã hội nhằm đánh lừa người dùng thực thi các lệnh độc hại.
Các chiêu thức lừa đảo này đã phát triển từ các chiến thuật ClickFix và FileFix sang một phương pháp mới gọi là CrashFix. Phương pháp này làm sập trình duyệt của nạn nhân và hiển thị một thông báo sửa lỗi giả, thực chất là cài đặt mã độc. Kể từ tháng 4 năm 2026, Woodgnat cũng sử dụng các kịch bản giả mạo bộ phận hỗ trợ CNTT thông qua các cuộc trò chuyện Microsoft Teams để lừa người dùng chạy các lệnh PowerShell.
Chuỗi Lệnh Và Persistent Access
Sau khi lệnh PowerShell được thực thi, một chuỗi script sẽ tải xuống một môi trường Python di động và khởi chạy ModeloRAT. Sau đó, kẻ tấn công sẽ tiến hành thu thập thông tin sâu, đánh cắp thông tin xác thực và thiết lập nhiều đường dẫn duy trì sự hiện diện (persistence). Cách tiếp cận nhiều lớp này khiến việc loại bỏ hoàn toàn nhóm tội phạm trở nên khó khăn ngay cả sau khi phát hiện ban đầu. Dữ liệu kỹ thuật về IOC (Chỉ số xâm nhập) thường bao gồm các địa chỉ IP, tên miền và hàm băm tệp độc hại, tuy nhiên, do bản chất biến đổi và dựa trên bộ nhớ của Mistic, các dấu hiệu cụ thể có thể khó nắm bắt.
Các nhà nghiên cứu bảo mật khuyến nghị giám sát hoạt động DLL sideloading bất thường, đặc biệt là khi các tệp thực thi hợp pháp của Microsoft tải các tệp không mong muốn. Các tổ chức cũng nên chú ý đến việc sử dụng các công cụ Windows tích hợp sẵn một cách đáng ngờ như curl.exe, certutil, WMIC và PowerShell trong các ngữ cảnh không phải là hoạt động bình thường.
Việc tinh chỉnh khả năng phát hiện điểm cuối (endpoint detection) hướng tới việc thực thi trong bộ nhớ và theo dõi hành vi mạng bất thường vẫn là một trong những biện pháp phòng thủ thực tế nhất chống lại mối đe dọa này. Bảo mật thông tin hiệu quả đòi hỏi sự kết hợp giữa công nghệ và quy trình giám sát chặt chẽ để phát hiện và ngăn chặn các hoạt động tinh vi như Mistic.
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.] ) để ngăn chặn việc phân giải hoặc liên kết tự động. Chỉ khôi phục trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
