// TOM'S HARDWARE ITALIA — CYBERSECURITY
Una backdoor apre la strada ai ransomware: ecco cosa fa Mistic
Mistic è una nuova backdoor osservata in attacchi finanziariamente motivati contro organizzazioni dei settori assicurativo, educativo, IT e servizi professionali. La novità conta perché il malware viene collegato a KongTuke, noto anche come Woodgnat, un broker di accessi iniziali attivo almeno dal 2024 e già associato alla vendita di accessi compromessi a gruppi ransomware.
Il ruolo di questi broker è cruciale nella catena criminale: non sempre cifrano direttamente i sistemi, ma preparano il terreno fornendo credenziali, persistenza e visibilità interna. Secondo l'analisi tecnica disponibile, Mistic sarebbe stato usato in intrusioni da aprile e in almeno un caso è comparso subito dopo ModeloRAT, un'altra backdoor attribuita allo stesso ecosistema e distribuita tramite social engineering su Microsoft Teams.
La catena osservata parte dall'esecuzione di MpExtMs.exe, un file legittimo usato per caricare lateralmente una DLL malevola chiamata version.dll. Questa agisce da loader per il componente principale, EndpointDlp.dll, un nome scelto per assomigliare a strumenti di sicurezza endpoint Microsoft e confondersi meglio con software attendibile presenti sul sistema.
Nel flusso d'infezione viene caricata anche una DLL .NET separata, progettata per mostrare alla vittima una falsa schermata di login e rubare le credenziali dell'account. Una volta attiva, la backdoor comunica con l'infrastruttura di command-and-control e può ricevere istruzioni dall'operatore, mantenendo un punto d'appoggio nella rete compromessa.
Il dato più rilevante è la costruzione orientata alla bassa visibilità: Mistic può eseguire payload in memoria senza scrivere file su disco e integra un kill switch per eliminarsi. È lo stesso terreno operativo in cui si collocano campagne capaci di neutralizzare i controlli difensivi, un tema già emerso parlando di ransomware che spengono gli EDR prima dell'attacco.
Un'altra analisi traccia lo stesso malware come MTLBackdoor e lo inserisce in una catena ClickFix multi-stage vista a maggio. Tra le funzioni più importanti c'è il supporto ai Beacon Object Files, piccoli programmi in C eseguibili direttamente nella memoria di un processo C2: una tecnica comune negli strumenti di red team, ma molto utile anche nella fase di post-exploitation criminale.
L'aspetto da non sottovalutare è la convergenza tra strumenti personalizzati e ransomware-as-a-service. KongTuke è già stato associato all'uso di WinPython, runtime Node.js, finger.exe, estensioni browser fasulle e loader aggiuntivi come MintsLoader e D3F@ck Loader. Mistic conferma quindi una tendenza precisa: l'accesso iniziale sta diventando più specializzato, modulare e difficile da intercettare prima che arrivi la fase ransomware.