Symantec und Carbon Black führen Mistic auf KongTuke zurück, einen Initial-Access-Broker, der seit Längerem mit wechselnden Einschleusungsmethoden auffällt. Die aktuelle Analyse beschreibt die Zielauswahl als opportunistisch: Die Angreifer spannten ein breites Netz und prüften anschließend, an welche Organisationen sich ein Zugang weiterverkaufen lasse, statt sich auf einen einzelnen Sektor zu konzentrieren.
ModeloRAT spielte dabei erneut eine zentrale Rolle. Huntress hatte die Malware erstmals im Januar 2026 im Zusammenhang mit einer Variante der ClickFix-Kampagne namens CrashFix markiert. Damals nutzten die KongTuke-Akteure eine bösartige Google-Chrome-Erweiterung, die sich als Werbeblocker ausgab, gezielt den Browser des Opfers abstürzen ließ und es unter dem Vorwand eines Sicherheitsscans dazu brachte, beliebige Befehle auszuführen.
Microsoft beschrieb zudem eine weitere ClickFix-Kampagne, in der per Befehl zunächst eine DNS-Abfrage ausgelöst wurde, um die nächste Schadstufe nachzuladen. Die Angriffskette nutze DNS dabei als „leichtgewichtigen Bereitstellungs- oder Signalisierungskanal“, so Microsoft. Zscaler ThreatLabz hatte den Einsatz von Mistic über ClickFix in diesem Monat ebenfalls hervorgehoben und die Aktivität einem mit Ransomware verbundenen Bedrohungsakteur zugeschrieben, der damit zunächst einen Einstiegspunkt für laterale Bewegungen schaffen wollte.
Die nun veröffentlichten Erkenntnisse von Broadcom zeigen, dass Mistic auf DLL-Sideloading setzt. Dazu missbraucht die Schadsoftware das vertrauenswürdige Microsoft-Endpunktschutz-Werkzeug „MpExtMs.exe“, um unauffällig zu bleiben und Warnsignale zu vermeiden. Die Backdoor läuft direkt im Speicher und bringt laut Broadcom ein breites Spektrum an Fähigkeiten mit, wie sie für Malware dieser Art typisch sind.
Broadcom hebt neben der Tarnung auch die mögliche Entwicklungsrolle von Woodgnat bei ModeloRAT hervor. Das deute auf eine Gruppe hin, die bei der Entwicklung unauffälliger Werkzeuge für den Fernzugriff über erhebliche Fähigkeiten verfüge. Nach Beobachtungen von Symantec und Carbon Black tauchte ModeloRAT auch in Angriffen auf, bei denen die Ransomware Qilin eingesetzt wurde.
KongTuke betreibt nach bisherigen Erkenntnissen ein Traffic-Distribution-System auf kompromittierten WordPress-Seiten. Darüber verteilt die Gruppe fortlaufend angepasste Köder, die ahnungslose Besucher zu Malware führen sollen. Erst im vergangenen Monat berichteten Rapid7 und ReliaQuest außerdem, dass der Akteur dazu übergegangen ist, Nachrichten in Microsoft Teams von einem gefälschten IT-Support-Konto zu versenden, um eine Angriffskette auszulösen, die schließlich zur Installation von ModeloRAT führt.
Broadcom ordnet Mistic in einen breiteren Trend ein: Der Einsatz maßgeschneiderter Werkzeuge bei Ransomware-Angriffen werde häufiger, auch für Datenabfluss und andere Aufgaben. Bei Backdoor.Mistic spreche jedoch vieles dafür, dass sie eher von Zugangsmaklern entwickelt wurde, die mit Ransomware-Partnern zusammenarbeiten, als von einer Ransomware-Gruppe selbst.