Hack Alerta

Novo backdoor Windows Mistic permite execução de código em memória e roubo de credenciais

Novo backdoor Mistic usa execução em memória e DLL sideloading, vinculado ao grupo Woodgnat, alvo empresas.

Introdução e características do backdoor

Um novo backdoor do Windows chamado Mistic tem sido silenciosamente feito caminho através de redes empresariais desde abril de 2026, dando aos atacantes acesso persistente e de baixo perfil que é extremamente difícil de detectar. O malware foi visto mirando organizações em setores de seguros, educação, tecnologia da informação e serviços profissionais, com atacantes mostrando comportamento oportunista em vez de focar em um único setor. O Mistic se destaca de muitos outros backdoors pela forma como esconde seus rastros. Ele executa payloads inteiramente dentro da memória, o que significa que nenhum arquivo malicioso é nunca escrito no disco rígido.

Essa abordagem contorna um grande número de ferramentas de detecção tradicionais que dependem de escanear arquivos armazenados no disco. Analistas da PolySwarm sinalizaram essa ameaça e notaram que pode representar uma evolução nas ferramentas usadas por corretores de acesso, especificamente aqueles que invadem redes corporativas e depois vendem esse ponto de apoio a grupos de ransomware. O malware tem sido observado operando ao lado do ModeloRAT, um trojan de acesso remoto baseado em Python anteriormente vinculado ao grupo motivado financeiramente rastreado como Woodgnat, também conhecido publicamente como KongTuke.

De acordo com o relatório da PolySwarm e da Equipe de Caçadores de Ameaças da Symantec, o Mistic foi implantado em intrusões onde os atacantes usaram iscas de engenharia social, incluindo falhas de navegador falsas e testes de CAPTCHA falsos, para enganar as vítimas na execução de comandos PowerShell fornecidos pelo atacante. Essas técnicas são consistentes com os métodos de entrega conhecidos do Woodgnat. A combinação de execução em memória, um interruptor de desligamento embutido e uma semelhança deliberada com componentes legítimos de segurança da Microsoft torna o Mistic um dos backdoors mais sofisticados vistos em campanhas recentes de cibercrime.

Técnicas de evasão e execução

O backdoor Mistic atinge seu alvo através de um método chamado DLL sideloading, onde um executável legítimo da Microsoft chamado MpExtMs.exe é manipulado para carregar um arquivo malicioso em vez do esperado. O DLL malicioso é nomeado EndpointDlp.dll, emprestando o nome de um componente legítimo de segurança de endpoint da Microsoft, ajudando-o a se misturar perfeitamente em ambientes de software confiados. Uma vez ativo, o Mistic se conecta a um servidor de comando e controle controlado pelo atacante e espera instruções.

Ele pode fazer upload e download de arquivos, criar e excluir pastas, mover ou renomear dados e, mais importante, executar código fornecido pelo operador diretamente na memória sem tocar no disco. Um componente separado de roubo de credenciais, entregue como um DLL .NET, também foi observado ao lado do Mistic, apresentando às vítimas uma tela de login falsa para colher seus nomes de usuário e senhas. O malware também carrega um interruptor de desligamento que permite ao operador removê-lo completamente de um sistema comprometido sob comando, reduzindo significativamente as evidências forenses e complicando as investigações pós-incidente.

Ferramentas adicionais vistas nas mesmas cadeias de ataque incluíram PowerShell, certutil, WMIC e curl.exe, todas utilitários legítimos do Windows repurposados para atividade maliciosa. O Mistic é acreditado estar conectado ao Woodgnat, um grupo de cibercrime motivado financeiramente ativo desde pelo menos maio de 2024. O grupo opera primariamente como um corretor de acesso inicial, o que significa que seu objetivo não é implantar ransomware em si, mas estabelecer acesso de longo prazo dentro de ambientes empresariais e vender esse acesso a afiliados de ransomware.

Operações do corretor de acesso e detecção

O Woodgnat tem sido publicamente vinculado a grupos incluindo Qilin, Akira, Rhysida, Black Basta, Interlock e 8Base. O grupo tipicamente ganha um ponto de apoio comprometendo sites WordPress através de plugins vulneráveis ou credenciais roubadas, então injetando JavaScript que serve iscas de engenharia social para visitantes. Com o tempo, o Woodgnat refinou essas iscas, mudando de páginas de erro falsas ClickFix para técnicas FileFix e CrashFix, todas projetadas para empurrar as vítimas a colar e executar comandos fornecidos pelo atacante.

Desde abril de 2026, o grupo também tem sido observado usando chats de helpdesk do Microsoft Teams falsos para guiar funcionários através dessas sequências. Pesquisadores de segurança recomendam que as organizações monitorem de perto atividade incomum de DLL sideloading, especialmente quando executáveis legítimos da Microsoft carregam arquivos inesperados. Defensores também devem vigiar o uso anormal de ferramentas incorporadas como curl.exe, certutil e PowerShell, e priorizar detecção comportamental e análise focada em memória para contra-atacar ameaças como o Mistic efetivamente.

Os indicadores de comprometimento incluem hashes SHA-256 para os arquivos maliciosos, endereços IP de servidor C2 e domínios de comando e controle. O hash 1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984 corresponde ao Backdoor.Mistic — endpointdlp.dll. Os domínios de C2 incluem authorized-logins.net, b6w9m2z5x8q1v3k.top e carrolc.com.

Recomendações de mitigação

As organizações devem implementar monitoramento de comportamento de endpoint para detectar execução de código em memória. A revisão de logs de carregamento de DLL e a detecção de sideloading são essenciais. A implementação de soluções EDR com capacidades de análise de memória pode ajudar a identificar o Mistic. A educação dos usuários sobre engenharia social e a verificação de links e anexos de e-mail também são importantes.

A aplicação de patches de segurança e a atualização de software para corrigir vulnerabilidades conhecidas são passos fundamentais. A segmentação de rede e a implementação de políticas de acesso restrito podem limitar o movimento lateral. A colaboração com agências de inteligência e compartilhamento de indicadores de comprometimento com pares da indústria também é recomendada. A monitorização contínua de atividades de rede e a análise de logs de endpoint devem ser reforçadas para detectar movimentos laterais e exfiltração de dados.

Perguntas frequentes

Como o Mistic entra na rede? Através de engenharia social e exploits. Qual o objetivo? Acesso persistente e roubo de credenciais. Existe patch? Não, a defesa é baseada em detecção. Como detectar? Monitorar execução de código em memória e sideloading de DLL.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.