Backdoor.Mistic: l’access broker porta in dote tool su misura e stealth alla filiera ransomware

Una nuova backdoor tracciata come Backdoor.Mistic sposta un po’ più in là l’asticella dell’evasione nelle intrusioni che precedono il ransomware. A documentarla è il Threat Hunter Team di Symantec e Carbon Black (Broadcom) in un report di Symantec pubblicato il 24 giugno 2026, che la collega, con confidenza dichiarata bassa, all’initial access broker noto pubblicamente come KongTuke e tracciato dal vendor come Woodgnat. Il campione era già stato isolato all’inizio di giugno da Zscaler, che lo classifica come MLTBackdoor in una analisi tecnica dedicata.

L’interesse della vicenda non sta nel singolo incidente, ma in ciò che segnala sul mercato dell’accesso iniziale. Mistic è impiegata in attacchi dall’aprile 2026 contro organizzazioni di settori diversi (assicurazioni, istruzione, IT, servizi professionali), con un targeting opportunistico: gli operatori gettano la rete, profilano le vittime e rivendono l’accesso agli affiliati ransomware. Woodgnat è stato pubblicamente associato alle operazioni Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta; il team di Symantec ha inoltre osservato ModeloRAT, il RAT in Python attribuito allo stesso attore, in attacchi che hanno portato al deployment di Qilin. In un caso distinto, Mistic è stato distribuito in stretta prossimità a ModeloRAT.

Come si nasconde

Mistic viene caricata via sideloading, con una catena a tre stadi. Il file legittimo MpExtMs.exe, binario firmato di Microsoft Defender che gli attaccanti portano sulla macchina, effettua il sideload di version.dll, l’anello intermedio: questo loader aggancia le API GetModuleFileNameW e LoadLibraryW. Il primo hook fa puntare il processo al percorso legittimo di MpExtMs.exe, il secondo forza il caricamento di EndpointDlp.dll, che coincide con la backdoor vera e propria; il nome richiama gli strumenti di endpoint security di Microsoft, così da confondersi con software fidato. Non si tratta di abuso di un binario nativo dell’host lasciato intatto (la logica living-off-the-land in senso stretto), ma di mascheramento. Sulla rete della vittima viene caricata anche una DLL .NET che mostra una falsa schermata di login per rubare le credenziali.

Le due caratteristiche che pesano sulla difesa: la backdoor esegue i payload ricevuti dal command-and-control direttamente in memoria, senza scrivere file su disco, e integra un kill switch che le consente di autoeliminarsi. Zscaler segnala in particolare la capacità di caricare ed eseguire in memoria Beacon Object Files (BOF), il meccanismo che spiega in concreto l’evasione. Gli strumenti di rilevamento basati su scansione dei file restano ciechi; la rimozione su comando complica l’attività forense, perché il campione può sparire prima dell’arrivo dell’analista. Sono funzionalità coerenti con un operatore che cerca accesso persistente e a bassa visibilità.

Perché conta per chi difende

Il punto di analisi è nella conclusione di Symantec: fino a poco tempo fa gli attori ransomware prediligevano tool duali e tecniche living-off-the-land; la comparsa di backdoor custom, sviluppate da broker di accesso che lavorano con più affiliati, indica un gruppo tecnicamente maturo e un possibile cambio di passo dell’ecosistema. Per i difensori significa spostare il baricentro dalla detection statica verso il monitoraggio comportamentale e l’analisi della memoria, e ricostruire la kill chain a monte: l’accesso iniziale di Woodgnat passa per lure di social engineering (ClickFix, FileFix, CrashFix) e, dall’aprile 2026, per pretesti di help desk veicolati via chat Microsoft Teams esterne, documentati da ReliaQuest e Rapid7, in cui la vittima incolla ed esegue un singolo comando PowerShell.

Sul piano dell’attribuzione vale la cautela: il legame Mistic-Woodgnat resta indiziario (prossimità a ModeloRAT, catena di consegna ClickFix segnalata da Zscaler), e Woodgnat è un broker di accesso, non un gruppo ransomware. Le mitigazioni utili sono la restrizione del sideloading di DLL, il controllo di integrità sui processi delle suite di sicurezza, l’autenticazione a più fattori contro il furto credenziali e la caccia agli IoC pubblicati nel report. La vicenda conferma una linea già nota in redazione su ransomware e sulle pratiche di threat hunting.