Mistic: O Backdoor que se Autodestrói Após a Infiltração e Opera na Memória
Um novo backdoor, apelidado de Mistic, está chamando a atenção de especialistas em cibersegurança por sua capacidade de operar inteiramente na memória RAM, sem deixar rastros de arquivos no disco. Após cumprir sua missão, o malware se autodestrói, dificultando sua detecção e remoção.
MundiX News·28 de junho de 2026·4 min de leitura·👁 1 views
Hackers desenvolveram um sofisticado backdoor, conhecido como Mistic, que opera de forma furtiva, executando suas funções diretamente na memória do sistema e, crucialmente, sem a necessidade de escrever arquivos maliciosos no disco. Essa característica o torna particularmente difícil de detectar por soluções de segurança tradicionais, que frequentemente dependem da análise de arquivos para identificar ameaças. Após a conclusão de suas tarefas, o Mistic se autodestrói, eliminando qualquer vestígio de sua presença.
Pesquisadores de segurança, como os da Zscaler, que foram os primeiros a descrever o Mistic (também identificado como MLTBackdoor), acreditam que essa ferramenta é utilizada por atacantes para obter um ponto de apoio inicial em redes corporativas. Uma vez estabelecido, o backdoor facilita a movimentação lateral dentro da infraestrutura da vítima, preparando o terreno para ações mais complexas. A Symantec e a Carbon Black relataram que o Mistic tem sido empregado em ataques desde abril, afetando organizações em setores como seguros, educação, TI e serviços profissionais.
Há uma forte suspeita de que o Mistic esteja associado ao grupo KongTuke, também conhecido como Woodgnat, um broker de acesso primário com motivações financeiras. Grupos como o KongTuke geralmente não executam ataques de ransomware diretamente; em vez disso, eles se infiltram em redes corporativas, estabelecem persistência e vendem o acesso a outros cibercriminosos, incluindo operadores de ransomware. Essa ligação é reforçada pela observação de ataques onde o Mistic foi encontrado em conjunto com o ModeloRAT, um trojan em Python que também é atribuído ao KongTuke. Anteriormente, o KongTuke foi associado a outros grupos de ransomware notórios, como Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta. Uma outra evidência que corrobora essa conexão é a cadeia de infecção ClickFix, que a Trend Micro já havia associado ao KongTuke, e que foi utilizada na distribuição do Mistic.
Em um dos incidentes investigados, o Mistic foi entregue através de um arquivo legítimo chamado MpExtMs.exe, sendo posteriormente executado a partir de uma DLL com o nome EndpointDlp.dll. Essa técnica de ofuscação permite que o malware se passe por componentes normais de software corporativo, aumentando ainda mais sua capacidade de evasão. As funcionalidades do Mistic incluem o download e upload de arquivos, a manipulação de dados (mover, renomear, excluir), a criação de diretórios e o recebimento de comandos de um servidor de Comando e Controle (C2). A principal preocupação reside na execução de módulos remotos diretamente na memória, o que impede que arquivos maliciosos sejam escritos no disco, tornando a detecção por antivírus e soluções de Endpoint Detection and Response (EDR) significativamente mais desafiadora. A combinação de execução em memória e um mecanismo de autodestruição integrado confere ao Mistic um alto grau de sigilo, permitindo que os atacantes mantenham acesso discreto e prolongado às redes comprometidas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Hackers desenvolveram um sofisticado backdoor, conhecido como Mistic, que opera de forma furtiva, executando suas funções diretamente na memória do sistema e, crucialmente, sem a necessidade de escrever arquivos maliciosos no disco. Essa característica o torna particularmente difícil de detectar por soluções de segurança tradicionais, que frequentemente dependem da análise de arquivos para identificar ameaças. Após a conclusão de suas tarefas, o Mistic se autodestrói, eliminando qualquer vestígio de sua presença.
Pesquisadores de segurança, como os da Zscaler, que foram os primeiros a descrever o Mistic (também identificado como MLTBackdoor), acreditam que essa ferramenta é utilizada por atacantes para obter um ponto de apoio inicial em redes corporativas. Uma vez estabelecido, o backdoor facilita a movimentação lateral dentro da infraestrutura da vítima, preparando o terreno para ações mais complexas. A Symantec e a Carbon Black relataram que o Mistic tem sido empregado em ataques desde abril, afetando organizações em setores como seguros, educação, TI e serviços profissionais.
Há uma forte suspeita de que o Mistic esteja associado ao grupo KongTuke, também conhecido como Woodgnat, um broker de acesso primário com motivações financeiras. Grupos como o KongTuke geralmente não executam ataques de ransomware diretamente; em vez disso, eles se infiltram em redes corporativas, estabelecem persistência e vendem o acesso a outros cibercriminosos, incluindo operadores de ransomware. Essa ligação é reforçada pela observação de ataques onde o Mistic foi encontrado em conjunto com o ModeloRAT, um trojan em Python que também é atribuído ao KongTuke. Anteriormente, o KongTuke foi associado a outros grupos de ransomware notórios, como Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta. Uma outra evidência que corrobora essa conexão é a cadeia de infecção ClickFix, que a Trend Micro já havia associado ao KongTuke, e que foi utilizada na distribuição do Mistic.
Em um dos incidentes investigados, o Mistic foi entregue através de um arquivo legítimo chamado MpExtMs.exe, sendo posteriormente executado a partir de uma DLL com o nome EndpointDlp.dll. Essa técnica de ofuscação permite que o malware se passe por componentes normais de software corporativo, aumentando ainda mais sua capacidade de evasão. As funcionalidades do Mistic incluem o download e upload de arquivos, a manipulação de dados (mover, renomear, excluir), a criação de diretórios e o recebimento de comandos de um servidor de Comando e Controle (C2). A principal preocupação reside na execução de módulos remotos diretamente na memória, o que impede que arquivos maliciosos sejam escritos no disco, tornando a detecção por antivírus e soluções de Endpoint Detection and Response (EDR) significativamente mais desafiadora. A combinação de execução em memória e um mecanismo de autodestruição integrado confere ao Mistic um alto grau de sigilo, permitindo que os atacantes mantenham acesso discreto e prolongado às redes comprometidas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
