Neuer „Mistic“-RAT dient als Zugang für mehrere Ransomware-Gruppen

Zusammenfassung

Broadcoms Threat-Hunter-Teams von Symantec und Carbon Black beobachten einen neuen Remote-Access-Trojaner namens Backdoor.Mistic, der in jüngsten Angriffen von einem Initial Access Broker eingesetzt wird. Der Akteur, geführt unter den Namen Woodgnat und KongTuke, ist seit mindestens Mai 2024 aktiv und steht laut Broadcom mit den Ransomware-Gruppen Qilin, Interlock, Rhysida, Akira, 8Base und Black Basta in Verbindung. Seit April 2026 setzt Woodgnat Mistic gegen Netzwerke von Organisationen in mehreren Branchen ein, darunter Bildung, Versicherungen, IT und professionelle Dienstleistungen. Nach Einschätzung der Forscher erfolgt die Zielauswahl opportunistisch: Die Angreifer streuen breit und prüfen anschließend, welche kompromittierten Umgebungen sich als Zugänge weiterverkaufen lassen. Damit rückt Mistic als neues Werkzeug eines Akteurs in den Fokus, der nicht selbst durch Erpressung auffällt, sondern den Erstzugang für andere Gruppen vorbereitet.

Nach Angaben von Broadcoms Symantec- und Carbon-Black-Forschern nutzt Woodgnat den neuen Schädling Mistic als klassisches Fernzugriffswerkzeug. Die Malware, die auch unter der Bezeichnung MLTBackdoor verfolgt wird, beherrscht Datei-Download und -Upload, das Manipulieren von Dateien, das Anlegen von Ordnern sowie die Ausführung von Code. Außerdem können die Angreifer die Intervalle anpassen, in denen die Schadsoftware nach neuen Befehlen sucht, und sie zur Selbstbeendigung anweisen.

Woodgnat bringt die Backdoor als DLL auf Zielsysteme und startet sie per Sideloading. In einem kürzlich beobachteten Angriff setzte der Akteur neben Mistic zusätzlich einen Zugangsdaten-Dieb ein. Zuvor war Woodgnat bereits dabei beobachtet worden, in anderen Angriffen ModeloRAT zu verteilen.

Die von Broadcom beschriebenen Eindringlinge verwenden darüber hinaus eine Reihe legitimer Werkzeuge und Windows-Komponenten. Genannt werden Curl, Reg.exe, Net beziehungsweise net.exe, PowerShell, Certutil und WMIC, also Windows Management Instrumentation. Diese Hilfsmittel kamen laut den Forschern für Datenabfluss, Registry-Manipulation, die Verwaltung von Netzwerkressourcen, Befehlsausführung, Aufklärung, laterale Bewegung, Dateidownloads und die Installation von Browser-Zertifikaten zum Einsatz.

Als Initial Access Broker ist Woodgnat laut Broadcom dafür bekannt, Schadsoftware über kompromittierte WordPress-Seiten zu verbreiten. Zusätzlich setzt die Gruppe auf Social Engineering, um Nutzer dazu zu bringen, von den Angreifern gelieferte Befehle selbst auszuführen. Broadcom nennt dabei ausdrücklich die Techniken ClickFix, FileFix und CrashFix.

Die Forscher beschreiben das Grundmuster so: „In jedem Fall wird das Opfer letztlich dazu gebracht, einen von den Angreifern bereitgestellten PowerShell-Befehl auszuführen.“ Selbst wenn die erste Kompromittierung opportunistisch sei, würden die Angreifer die betroffenen Systeme anschließend profilieren, um ihren potenziellen Wert zu bestimmen und zu entscheiden, ob sich der Zugang weiterverkaufen lasse.

Seit April 2026 beobachtet Broadcom außerdem, dass der Akteur Köder rund um Helpdesk- und IT-Support-Themen über Microsoft Teams zustellt, um Opfer zur Ausführung schädlichen Codes zu verleiten. Das deckt sich mit dem von den Forschern beschriebenen Geschäftsmodell: nicht die Konzentration auf einen einzelnen Sektor, sondern das breite Sammeln möglicher Zugänge.

Broadcom formuliert das entsprechend deutlich: Die Zielauswahl wirke opportunistisch, die Angreifer würfen ein weites Netz aus und prüften dann, an welche Organisationen sich der Zugang verkaufen lasse. Betroffen waren dem Bericht zufolge bislang Unternehmen und Einrichtungen aus mehreren Branchen, darunter Bildung, Versicherungen, IT und professionelle Dienstleistungen.

Neuer „Mistic“-RAT dient als Zugang für mehrere Ransomware-Gruppen

Ähnliche Artikel

Neueste Artikel