# Backdoor.Mistic: Vũ khí mới của KongTuke trong hệ sinh thái ClickFix – ModeloRAT – Ransomware

## Tóm tắt

Một backdoor mới có tên **Backdoor.Mistic** (còn được [Zscaler theo dõi dưới tên MLTBackdoor](https://www.zscaler.com/blogs/security-research/technical-analysis-mltbackdoor)) đã xuất hiện trong các cuộc xâm nhập từ **tháng 4/2026**, nhắm vào tổ chức thuộc các ngành bảo hiểm, giáo dục, IT và dịch vụ chuyên nghiệp. [Symantec và Carbon Black Threat Hunter Team](https://www.security.com/threat-intelligence/new-mistic-backdoor-modeloRAT) đánh giá — với **độ tin cậy thấp (low-confidence)** — rằng Mistic có thể liên quan đến **Woodgnat** (tên công khai là **KongTuke**), một initial access broker (IAB) chuyên bán quyền truy cập cho các nhóm ransomware như Qilin, Interlock, Rhysida, Akira, 8Base và Black Basta.

Rủi ro kinh doanh cốt lõi: đây không phải một vụ ransomware trực tiếp, mà là bước **chiếm quyền truy cập bền vững, ẩn mình** để bán lại. Doanh nghiệp bị nhiễm có thể không thấy dấu hiệu gì trong nhiều tuần, cho đến khi một affiliate mua access và triển khai ransomware. Việc nhắm mục tiêu mang tính **cơ hội (opportunistic)** — kẻ tấn công rải lưới rộng rồi mới đánh giá tổ chức nào đáng bán. Hành động quan trọng nhất cần làm ngay: **chặn kỹ thuật "paste-and-run"** (dán lệnh PowerShell vào hộp thoại Run/File Explorer) — vector khởi đầu chung của toàn bộ hệ sinh thái này.

## Backdoor.Mistic — một backdoor được thiết kế để biến mất

Mistic được thiết kế theo triết lý low-visibility. Nó [chạy payload trực tiếp trong bộ nhớ](https://www.security.com/threat-intelligence/new-mistic-backdoor-modeloRAT), không ghi file xuống ổ đĩa, và tích hợp sẵn **kill switch** để tự chấm dứt và xóa chính mình. Đây là bộ tính năng điển hình của một operator theo đuổi quyền truy cập dài hạn mà không để lại dấu vết forensic.

Các khả năng chính:

*   Upload/download file
    
*   Move / rename / delete file
    
*   Tạo folder
    
*   Điều chỉnh polling interval (khoảng thời gian giữa các lần hỏi C2 lấy lệnh) — giúp giảm "độ ồn" mạng khi cần
    
*   Thực thi mã nhận từ C2 **trực tiếp trong memory**, không lưu artifact trên disk
    
*   **Load Beacon Object File (BOF)** để mở rộng khả năng động — *theo* [*The Hacker News*](https://thehackernews.com/2026/06/new-mistic-backdoor-linked-to-kongtuke.html)*; chi tiết này không xuất hiện trong bài gốc của Symantec*
    
*   Tự chấm dứt và tự xóa (kill switch) Khả năng nạp BOF đáng chú ý: đây là kỹ thuật vốn gắn với các framework C2 cấp cao như Cobalt Strike, cho phép chạy code hậu-khai-thác trong tiến trình beacon mà không spawn process mới — một chỉ dấu về trình độ phát triển của tác giả.
    

### Chuỗi triển khai — DLL side-loading giả danh tooling của Microsoft

Trong [một vụ tấn công được Symantec Threat Hunter Team điều tra](https://sed-cms.broadcom.com/system/files/threat-hunter-alert-attachments/2026-05/2026_05_28_Threat_Alert_MSI_Backdoor.pdf), Mistic được nạp qua kỹ thuật DLL side-loading, lợi dụng một file hợp pháp làm "vật chủ":

1.  `MpExtMs.exe` — file **hợp pháp** — được dùng để side-load các DLL độc hại.
    
2.  `version.dll` — **loader** — hook hai API: `GetModuleFileNameW` và `LoadLibraryW`.
    
    *   Hook `GetModuleFileNameW`: đảm bảo đường dẫn của `mpextms.exe` trỏ về vị trí hợp pháp gốc (che mắt các kiểm tra path).
        
    *   Hook `LoadLibraryW`: ép loader nạp `EndpointDlp.dll` độc hại thay vì DLL thật.
        
3.  `EndpointDlp.dll` — chính là **Backdoor.Mistic**, được đặt tên **cố ý giả danh** tooling endpoint-security của Microsoft để hòa lẫn vào phần mềm tin cậy.
    
4.  Kèm theo là một **.NET DLL đánh cắp credential**, hiển thị một màn hình đăng nhập giả (fake lock/login screen) để lừa người dùng nhập thông tin. Bộ công cụ LOLBins hỗ trợ trong cùng vụ tấn công: `curl` (truyền dữ liệu / exfil), `reg.exe` (sửa registry), `net.exe` (quản lý tài nguyên mạng), `PowerShell` (tải payload, di chuyển, recon), `certutil` (giải mã / tải file / cài root cert), và `WMIC` (thực thi lệnh trên máy từ xa).
    

## Woodgnat / KongTuke — nhà môi giới access phía sau

**Woodgnat** (các alias công khai: **KongTuke, 404 TDS, TAG-124, LandUpdate808, Chaya\_002**) là một chiến dịch tội phạm mạng có động cơ tài chính, [hoạt động từ ít nhất tháng 5/2024](https://www.security.com/threat-intelligence/new-mistic-backdoor-modeloRAT). Vai trò chính là IAB: mục tiêu không phải triển khai payload cuối, mà thiết lập quyền truy cập từ xa cực kỳ bền vững rồi **bán lại** cho affiliate ransomware.

Hạ tầng phân phối (TDS) của nhóm chủ yếu dựa trên **các site WordPress bị chiếm** — qua plugin lỗi/cấu hình sai, credential bị đánh cắp hoặc mua, và phishing. JavaScript được inject để profile khách truy cập và phục vụ lure phù hợp.

### Tiến hóa của lure — từ ClickFix đến Teams IT-helpdesk

Điểm đáng chú ý nhất về Woodgnat là tốc độ tiến hóa của kỹ thuật social-engineering:

*   **ClickFix (đầu 2025):** dùng lỗi giả / CAPTCHA giả lừa nạn nhân dán script độc vào hộp thoại **Windows Run** dưới danh nghĩa "sửa lỗi kỹ thuật".
    
*   **FileFix (giữa 2025):** lừa nạn nhân dán và chạy lệnh trực tiếp trong **thanh địa chỉ File Explorer**.
    
*   **CrashFix (đầu 2026):** cố tình làm crash trình duyệt nạn nhân, rồi lừa họ chạy code dưới danh nghĩa "sửa crash". Biến thể này được [Huntress ghi nhận từ tháng 1/2026](https://thehackernews.com/2026/01/crashfix-chrome-extension-delivers.html), sử dụng extension Chrome độc hại **NexShield** giả mạo uBlock Origin Lite, phát tán qua malvertising.
    
*   **DNS-based ClickFix:** một biến thể khác chạy lệnh thực hiện truy vấn DNS để lấy payload stage tiếp theo — [Microsoft mô tả](https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html) DNS được dùng như "kênh staging/signaling nhẹ".
    
*   **Teams IT-helpdesk (từ ~04/2026):** Woodgnat chuyển sang giả tài khoản **IT Support gửi tin nhắn Microsoft Teams external**, hướng dẫn nạn nhân qua chuỗi "paste-and-run". [Rapid7 và ReliaQuest ghi nhận](https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat/) rằng operator xoay vòng qua nhiều tenant Microsoft 365 để né việc chặn phản ứng, và đạt persistence chỉ trong vài phút sau khi nạn nhân dán một lệnh PowerShell duy nhất. Trong mọi trường hợp, đích đến cuối cùng là khiến nạn nhân chạy một lệnh PowerShell do kẻ tấn công cung cấp.
    

### ModeloRAT — dấu vân tay dễ nhận nhất của Woodgnat

Woodgnat được nhận diện rõ nhất qua **ModeloRAT**, thường được giao dưới dạng gói **WinPython portable** (`WPy64-31401`) và chạy qua interpreter `pythonw.exe` **đã được ký hợp lệ** — một cách mượn chữ ký hợp pháp để né phát hiện. C2 dùng mã hóa **RC4**, và được xây dựng để chống chịu với [nhiều đường C2 độc lập trên hạ tầng riêng biệt, failover tuần tự](https://www.rapid7.com/blog/post/tr-it-support-dissecting-modelorat-campaign-microsoft-teams-compromise/). Máy nạn nhân **non-domain-joined** (WORKGROUP) nhận biến thể obfuscate nặng hơn, dùng **DGA** (domain-generation algorithm) để xoay C2 domain mới mỗi tuần — trong khi payload ModeloRAT giá trị cao được dành riêng cho máy corporate domain-joined.

Các thành phần khác trong chuỗi tấn công: `Node.exe` (script host chạy JavaScript của kẻ tấn công), `Finger.exe` (LOLBin lấy payload obfuscate từ cuối 2025), `GateKeeper` (.NET payload nhiều lớp mã hóa + anti-analysis + fingerprinting), và các commodity loader **MintsLoader**, **D3F@ck Loader**.

## Nhận định

Điểm cần theo dõi ở đây là **xu hướng IAB tự phát triển custom tooling** thay vì thuần túy living-off-the-land. Trước đây, các nhóm ransomware và broker access ưu tiên LOLBin và dual-use tool để giảm chi phí và độ lộ. Việc Woodgnat vừa có khả năng đứng sau **cả ModeloRAT lẫn Mistic** cho thấy một nhóm có kỹ năng phát triển RAT ẩn mình ở mức cao — và ranh giới giữa "người bán access" với "người triển khai ransomware" ngày càng mờ.

Với môi trường doanh nghiệp Việt Nam, vector **Microsoft Teams external chat giả IT Support** là mối lo sát sườn: rất nhiều tổ chức dùng M365 nhưng chưa siết chính sách external chat, và văn hóa "gọi IT nhờ fix nhanh" khiến pretext helpdesk dễ trót lọt. Đây không còn là kịch bản giả định — nó đã được quan sát trong thực tế từ tháng 4/2026.

## IOC (Indicators of Compromise)

Nguồn: [Symantec Threat Hunter Team](https://www.security.com/threat-intelligence/new-mistic-backdoor-modeloRAT).

**File indicators (SHA256)**

```plaintext
1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984  Backdoor.Mistic - endpointdlp.dll
34d798a6c55e57ed0932b6499f4fbcb5454bdfca903307be101a0594b0ac07bc  Fake lock screen - f.dll
3f797a639bc855bc6d5471f327924b62d10900ddec49b970eca6604142bbb4be  Backdoor.Mistic - aeff97fe.msi
59e3c4cb06331b4f2d78a9a0592f3747e573bd01c5a7650c26361d1e25520712  Loader for backdoor - version.dll
8c935feec4bd05d5d918df308be417532fb42608fb989a08eab183e0ae699235  Likely privilege escalation - n.dll
afd5f1ed45a9867daf3bc64152cef460a06b164c8183e490db39146d4749a82c  Backdoor.Mistic - endpointdlp.dll
db972979d508e75fe730d3b72c2701470fbdaeaf8ebdd674744754fa44438ca5  Backdoor.Mistic - endpointdlp.dll
f591275a8f014b29e567529d67c54eb7bb4473db1c38737d6bfd5b3d52c9344e  Backdoor.Mistic - 48b47c0.msi
fb3630822b70bacb56aa4cec29b5a0e3e9acb3920809e70310a4003385a6d34a  Backdoor.Mistic - endpointdlp.dll
```

**Network indicators**

```plaintext
142.93.242.144
144.31.53.78
198.13.159.44
199.91.221.42
authorized-logins.net
b6w9m2z5x8q1v3k.top
carrolc.com
cj06y9v4xab.com
cwrtwright.com
defs.updater-worelos.com
ftps.upd-domain-goloro.com
grande-luna.top
hxxp://thomphon.com/update.msi
human-check.top
mail.authorized-logins.net
mailes.upd-domain-goloro.com
mails.updater-worelos.com
mueleer.com
nano.upscale-kolo.com
oeannon.com
php.authorized-logins.net
rotoa-upda-lo.com
sql-updater-service.com
sss.authorized-logins.net
thomphon.com
upd-domain-goloro.com
update.update-fall.com
updater-worelos.com
upscale-kolo.com
w3xasv14culvnqj.top
```

## Khuyến nghị

Phía FPT Threat Intelligence đưa ra các khuyến nghị sau:

*   **Chặn paste-and-run:** vô hiệu hóa/ghi log hộp thoại Run qua GPO, giám sát tiến trình `explorer.exe`/`Teams.exe` spawn ra `powershell.exe`; siết **external chat trên Microsoft Teams** và cảnh báo người dùng về pretext "IT Support".
    
*   **Detection side-loading:** alert khi `MpExtMs.exe` load `version.dll`/`EndpointDlp.dll` ngoài đường dẫn chuẩn của Microsoft; hunt `pythonw.exe` chạy từ thư mục WinPython portable bất thường.
    
*   **Persistence & recon:** rà Run-key giả `AnyDesk`/`Splashtop`/`Comms`, scheduled task và VBScript launcher lạ; giám sát chuỗi `net.exe` enum + truy vấn Kerberoasting (SPN).
    
*   **Ingest IOC** ở trên vào SIEM/EDR và chặn network indicator tại firewall/DNS.
    

* * *

## Tài liệu tham khảo

*   Symantec / Carbon Black Threat Hunter Team — [*Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker*](https://www.security.com/threat-intelligence/new-mistic-backdoor-modeloRAT)
    
*   The Hacker News — [*New Mistic Backdoor Linked to KongTuke in ClickFix and ModeloRAT Campaigns*](https://thehackernews.com/2026/06/new-mistic-backdoor-linked-to-kongtuke.html)
    
*   Zscaler ThreatLabz — [*Technical Analysis of MLTBackdoor*](https://www.zscaler.com/blogs/security-research/technical-analysis-mltbackdoor)
    
*   Rapid7 — [*IT Support: Dissecting the ModeloRAT Campaign via Microsoft Teams Compromise*](https://www.rapid7.com/blog/post/tr-it-support-dissecting-modelorat-campaign-microsoft-teams-compromise/)
    
*   ReliaQuest — [*Threat Spotlight: Help Desk Lures Drop KongTuke's Evolved ModeloRAT*](https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat/)
