Zum Inhalt springen

Mistic-Backdoor: Initial-Access-Broker nutzt Microsoft-Defender-Datei für Eindringen

Auf den Punkt: Der Mistic-Backdoor nutzt DLL-Sideloading über eine signierten Microsoft-Defender-Datei für speicherbasierten Code-Ausführung und kombiniert In-Memory-Persistenz mit Credential-Stealing-Fähigkeiten.

Symantec-Forscher haben eine neue Backdoor namens Mistic identifiziert, die von der Threat-Actor-Gruppe Woodgnat (KongTuke) seit April eingesetzt wird. Mistic dient als Einstiegsmechanismus für Ransomware-Gangs, an die Woodgnat Netzwerkzugriff verkauft.

Mistic wurde bei Enterprise-Intrusions seit April 2024 in mehreren Branchen nachgewiesen: Versicherung, Bildung, IT und professionelle Dienstleistungen. In einigen Fällen arbeitet die Backdoor mit ModeloRAT zusammen, einem Python-geschriebenen Malware, das Woodgnat zugeordnet wird. Symantec beobachtete ModeloRAT beim Ausliefern der Qilin-Ransomware.

Die Infiltrationsmethode nutzt DLL-Sideloading: Angreifer liefern MpExtMs.exe aus, eine digital signierte Datei von Microsoft Defender. Diese executable sucht nach version.dll, die wiederum EndpointDlp.dll lädt — in Wahrheit der Mistic-Backdoor selbst. Der Code wird vollständig im Speicher ausgeführt ohne Dateien auf der Festplatte zu hinterlassen. Zusätzliche Funktionen umfassen Dateiverwaltung (schreiben, löschen, verschieben), Dateitransfer mit dem C2-Server sowie einen Kill-Switch für versteckte Persistenz.

Woodgnat operiert seit Mai 2024 und hat über zwei Jahre hinweg mehrere Ransomware-Gangs beliefert: Interlock, Rhysida, Akira, 8Base und Black Basta. Die anfängliche Kompromittierung erfolgt überwiegend durch ClickFix-Kampagnen, die Nutzer durch gefälschte CAPTCHA-Tests oder Absturzsimulationen zur Ausführung von PowerShell-Kommandos nötigen. Seit April nutzt Woodgnat auch Microsoft Teams, um sich als IT-Support auszugeben und Opfer durch schädliche Copy-Paste-Sequenzen zu führen.

Nach der initialen Infection profiliert Woodgnat die Maschinen, um ihren Wert für den Verkauf zu bewerten. Die Verwendung von speicherbasierter Ausführung und einer eigens entwickelten Backdoor markiert einen Trend: Initial-Access-Broker kehren zu Custom-Malware statt reiner „Living-off-the-Land”-Taktiken zurück.


Quelle: www.csoonline.com · Erschienen 25. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: