Puerta trasera mística
Una sofisticada puerta trasera conocida como Mistic, también rastreada como MLTBackdoor, ha aparecido en una oleada de ciberataques presuntamente motivados por intereses económicos que se han mantenido activos desde abril de 2026. El malware se ha detectado en ataques contra organizaciones que operan en los sectores de seguros, educación, tecnología de la información y servicios profesionales.
Investigadores de seguridad han vinculado la operación con el agente de acceso inicial (IAB) KongTuke, también conocido por varios alias, como 404 TDS, Chaya_002, LandUpdate808, TAG-124 y Woodgnat. Durante estas intrusiones, Mistic se desplegó junto con ModeloRAT, un troyano de acceso remoto basado en Python que anteriormente se atribuyó al mismo actor de amenazas.
Tabla de contenido
Diseñado para el sigilo y el acceso a largo plazo.
Mistic destaca por su capacidad de operar completamente en memoria sin escribir archivos en el disco, lo que reduce significativamente las posibilidades de detección. El malware también incorpora un interruptor de desactivación integrado que le permite autoeliminarse cuando sea necesario. Estas características sugieren que los operadores se centran en mantener un acceso persistente y encubierto a entornos comprometidos.
Para evitar llamar la atención, el malware recurre a técnicas de carga lateral de DLL, abusando de la utilidad legítima de seguridad de endpoints de Microsoft, MpExtMs.exe, para mimetizarse con la actividad normal del sistema.
La evolución de las campañas de entrega de ClickFix
ModeloRAT atrajo la atención por primera vez en enero de 2026 durante las investigaciones de una variante de la campaña ClickFix conocida como CrashFix. En esta operación, los atacantes de KongTuke distribuyeron una extensión maliciosa para Google Chrome disfrazada de bloqueador de anuncios. La extensión bloqueaba intencionadamente los navegadores de las víctimas y luego las engañaba para que ejecutaran comandos maliciosos bajo la apariencia de realizar un análisis de seguridad.
Otra campaña de ClickFix empleó un enfoque diferente, instruyendo a las víctimas para que ejecutaran comandos que realizaban una consulta del Sistema de Nombres de Dominio (DNS). La solicitud DNS se utilizaba posteriormente para recuperar la carga útil de la siguiente etapa, convirtiendo así el DNS en un mecanismo ligero de preparación y señalización para los atacantes.
En junio de 2026, los investigadores también destacaron el uso de ClickFix como mecanismo de distribución de Mistic, atribuyendo la actividad a un actor de amenazas asociado con el ransomware que intentaba obtener una posición inicial y facilitar el movimiento lateral a través de las redes.
Capacidades que hacen de Mistic un ser altamente peligroso
La puerta trasera ofrece un amplio conjunto de funciones comúnmente asociadas con el malware avanzado de acceso remoto, que incluyen:
Cargar y descargar archivos, crear carpetas y mover, renombrar o eliminar archivos.
Ejecuta código malicioso directamente en la memoria, carga archivos de objetos Beacon para ampliar la funcionalidad, modifica los intervalos de sondeo de comandos y se desactiva y elimina a sí mismo para borrar las pruebas.
Ataques oportunistas y conexiones con el ransomware
La campaña parece seguir un modelo oportunista en lugar de centrarse en un solo sector. Según se informa, los atacantes están comprometiendo a una amplia gama de organizaciones y luego evaluando qué víctimas podrían ofrecer oportunidades de acceso lucrativas para venderlas a otros ciberdelincuentes.
Los investigadores también han observado ModeloRAT en ataques que, en última instancia, dieron lugar al despliegue del ransomware Qilin, lo que refuerza la conexión entre los intermediarios de acceso inicial y los operadores de ransomware.
El creciente arsenal de técnicas de ingeniería social de KongTuke
KongTuke opera un sofisticado sistema de distribución de tráfico (TDS) basado en sitios web WordPress comprometidos. Esta infraestructura se utiliza para presentar señuelos que cambian constantemente y que redirigen a los visitantes desprevenidos hacia cadenas de distribución de malware.
Más recientemente, las empresas de seguridad Rapid7 y ReliaQuest informaron que el atacante ha cambiado de táctica y ahora envía mensajes de Microsoft Teams desde cuentas fraudulentas de "Soporte Técnico". Estos mensajes inician una cadena de ataque que culmina con el despliegue de ModeloRAT.
Una tendencia creciente en el desarrollo de malware personalizado
La sofisticación de Mistic y la presunta implicación de Woodgnat en el desarrollo de ModeloRAT apuntan a un grupo altamente cualificado especializado en herramientas de acceso remoto sigilosas. La aparición de Backdoor.Mistic también refleja una tendencia más amplia en el sector, donde las operaciones de ransomware dependen cada vez más de malware personalizado, utilidades de exfiltración y herramientas de acceso especializadas.
La evidencia actual sugiere que Mistic probablemente sea producto de la colaboración entre intermediarios de acceso y afiliados de ransomware, en lugar de una herramienta desarrollada directamente por un grupo de ransomware.
