Der Mistic-Backdoor nutzt DLL-Sideloading über eine signierten Microsoft-Defender-Datei für speicherbasierten Code-Ausführung und kombiniert In-Memory-Persistenz mit Credential-Stealing-Fähigkeiten.
Die Mistic-Backdoor wird von dem Ransomware-Zugriffsbroker KongTuke in gezielten Angriffen gegen Versicherungen, Bildungseinrichtungen und IT-Unternehmen eingesetzt.