Nach den von Symantec untersuchten Angriffen beginnt die Infektionskette mit dem Start der legitimen Datei MpExtMs.exe. Diese lädt per Side-Loading eine schädliche DLL namens version.dll nach, die wiederum als Loader für Mistic dient, das als EndpointDlp.dll vorliegt. Die Forscher weisen darauf hin, dass der Dateiname bewusst an Microsoft-Werkzeuge zur Endpunktsicherheit erinnert und der Malware so helfen kann, sich auf dem kompromittierten System zwischen vertrauenswürdig wirkender Software zu verbergen.
Zusätzlich wird eine separate .NET-DLL geladen, die dem Opfer einen gefälschten Anmeldebildschirm anzeigt, um Zugangsdaten zu stehlen. Ist Mistic erst aktiv, nimmt die Backdoor Kontakt zu ihrer Kommando-und-Kontroll-Infrastruktur auf und kann Befehle des Operators entgegennehmen. Laut Symantec wurde die Schadsoftware auf unauffälliges Verhalten ausgelegt, damit Angreifer über längere Zeit einen dauerhaften Zugang in kompromittierten Netzen halten können.
Symantec beschreibt mehrere Merkmale, die diese Ausrichtung unterstreichen. Die Backdoor führt Nutzlasten ausschließlich im Arbeitsspeicher aus, ohne Dateien auf den Datenträger zu schreiben. Außerdem verfügt sie über einen Abschaltmechanismus, mit dem sie sich selbst löschen kann. Die Forscher erklären, dies passe zu einem Betreiber, der auf langfristigen Zugriff bei möglichst geringer Sichtbarkeit aus sei.
Details zum eigentlichen Infektionsbeginn nennt Symantec nicht. Bekannt ist laut dem Unternehmen jedoch, dass KongTuke seit Anfang 2025 ClickFix sowie dessen Varianten FileFix und CrashFix einsetzt, um ModeloRAT auszuliefern. In einem technischen Bericht in dieser Woche beschreibt Zscaler Mistic, dort unter dem Namen MTLBackdoor geführt, zudem als Nutzlast einer mehrstufigen ClickFix-Infektionskette im Mai.
Zscaler hebt besonders eine Funktion hervor: MTLBackdoor könne Beacon Object Files, kurz BOFs, nachladen, um seine Fähigkeiten zu erweitern. Dabei handelt es sich um kleine C-Programme, die direkt im Speicher eines Kommando-und-Kontroll-Prozesses ausgeführt werden. Laut Zscaler hinterlassen sie keine Spuren auf dem Datenträger und können so die Erkennung durch Sicherheitswerkzeuge umgehen. Solche BOFs seien in Red-Team-Produkten wie Cobalt Strike für die Phase nach der Kompromittierung verbreitet.
Symantec sieht in Mistic einen weiteren Beleg für den beobachteten Trend, dass bei Ransomware-Angriffen zunehmend maßgeschneiderte Werkzeuge verwendet werden. Die Backdoor wirke allerdings wie eine Entwicklung eines Initial-Access-Brokers mit enger Verbindung zur Ransomware-Szene. KongTuke ist darüber hinaus für den Einsatz weiterer Werkzeuge bekannt, darunter die legitimen Laufzeitumgebungen WinPython und Node.js zur Ausführung schädlichen Codes, finger.exe zum Abruf verschleierter Nutzlasten, die gefälschte Browser-Erweiterung NexShield, die verschlüsselte .NET-Nutzlast GateKeeper sowie die Loader MintsLoader und D3F@ck Loader zur Verteilung zusätzlicher Schadsoftware.
Sowohl die Berichte von Zscaler als auch von Symantec enthalten laut dem Artikel Indikatoren für eine Kompromittierung im Zusammenhang mit Mistic beziehungsweise MTLBackdoor. Beide Unternehmen beschreiben die Malware als unauffälliges Werkzeug mit ausbaufähiger Funktionalität.