باب خلفي Mistic جديد يرتبط بـ KongTuke في حملات ClickFix و ModeloRAT

مقدمة تحليلية

منذ أبريل 2026، تم رصد انتشار باب خلفي جديد شديد التخفي يُدعى Mistic ضمن هجمات يشتبه في دوافعها المالية، استهدفت منظمات متعددة عبر قطاعات التأمين، التعليم، تكنولوجيا المعلومات، والخدمات المهنية. وفقًا لفرق الأمن السيبراني في Symantec و Carbon Black، يرتبط هذا الباب الخلفي، الذي يُعرف أيضًا باسم MLTBackdoor، بوسيط الوصول الأولي (IAB) المعروف باسم KongTuke (والذي يحمل أسماء أخرى مثل 404 TDS، Chaya_002، LandUpdate808، TAG-124، و Woodgnat)، ويُسقط جنبًا إلى جنب مع ModeloRAT، وهو حصان طروادة للوصول عن بُعد (RAT) مبني بلغة Python كان قد نُسب سابقًا لهذه المجموعة. هذه التطورات تسلط الضوء على تكتيكات المهاجمين المتطورة وقدرتهم على التسلل بعمق دون اكتشاف، مما يمثل تحديًا كبيرًا للمؤسسات المستهدفة.

تُعد هذه الحملات جزءًا من اتجاه متزايد يعتمد على أدوات مخصصة وتقنيات التخفي لتجنب الكشف، مما يجعلها أكثر خطورة من البرمجيات الخبيثة التقليدية. القدرة على تنفيذ حمولات في الذاكرة دون كتابة ملفات على القرص، وميزة مفتاح الإيقاف الذاتي (kill switch) التي تسمح للبرنامج بحذف نفسه، هي سمات تؤكد سعي المهاجمين للحصول على وصول طويل الأمد ومنخفض الرؤية داخل شبكات الضحايا. هذا النمط من الهجمات يشير إلى استراتيجية استباقية من قبل جهات التهديد لإنشاء موطئ قدم دائم يمكن استغلاله لاحقًا في عمليات أكثر تعقيدًا، بما في ذلك هجمات الفدية.

التحليل التقني

يعتمد باب Mistic الخلفي على مجموعة من التقنيات المتقدمة لضمان التخفي والفعالية. أحد أبرز هذه التقنيات هو التنفيذ في الذاكرة (in-memory execution)، مما يعني أنه لا يترك أي آثار على القرص، مما يصعّب اكتشافه بالأساليب التقليدية القائمة على الفحص. بالإضافة إلى ذلك، يتضمن Mistic مفتاح إيقاف ذاتي يسمح له بحذف نفسه، وهي ميزة حيوية للمهاجمين الذين يسعون للحفاظ على وصول غير مرئي لفترات طويلة. تعتمد البرمجية الخبيثة أيضًا على تقنيات تحميل DLL الجانبي (DLL side-loading)، حيث تستغل أدوات أمن نقاط النهاية الموثوقة من Microsoft، مثل 'MpExtMs.exe'، لدمج نفسها في العمليات الشرعية وتجنب إطلاق التنبيهات الحمراء.

تتضمن قدرات Mistic الواسعة النطاق ما يلي:

• رفع أو تنزيل الملفات من وإلى الجهاز المخترق.
• نقل، إعادة تسمية، أو حذف الملفات.
• إنشاء مجلدات جديدة على النظام.
• تعديل الفاصل الزمني الذي يستطلِع بعده خادم التحكم والقيادة (C2) للحصول على أوامر جديدة.
• تنفيذ الشفرة المستلمة من C2 مباشرة في الذاكرة دون ترك أي آثار على القرص.
• تحميل ملفات كائنات Beacon (BOFs) لتوسيع قدراته ديناميكيًا بعد الاختراق الأولي.
• إنهاء وحذف نفسه من النظام عند الحاجة.

تم توزيع Mistic من خلال حملات ClickFix، والتي تم الكشف عنها لأول مرة بواسطة Huntress في يناير 2026. تضمنت إحدى هذه الحملات، المسماة CrashFix، استخدام إضافة Google Chrome خبيثة تتظاهر بأنها أداة لحظر الإعلانات. كانت هذه الإضافة تتسبب في تعطيل متصفح الضحية لخداعهم لتشغيل أوامر عشوائية تحت ذريعة إجراء فحص أمني. كما تم رصد الميزة في حملات ClickFix أخرى تستخدم استعلامات DNS لاسترداد الحمولة المرحلة التالية، حيث أشارت Microsoft إلى أن سلسلة الهجوم تستخدم DNS كـ "قناة بسيطة للتنسيق أو الإشارة". في الآونة الأخيرة، كشف Rapid7 و ReliaQuest أن KongTuke قد انتقل إلى إرسال رسائل Microsoft Teams مزيفة من حساب دعم فني زائف لإطلاق سلسلة الهجوم التي تؤدي إلى نشر ModeloRAT.

السياق وتأثير السوق

يمثل ارتباط Mistic بـ KongTuke امتدادًا لتاريخ طويل من الأنشطة الضارة لوسيط الوصول الأولي هذا. تُعرف KongTuke (أو Woodgnat) بتشغيل نظام توزيع حركة المرور (TDS) يعتمد على مواقع WordPress المخترقة، ويستخدمه لتقديم مجموعة متطورة باستمرار من الإغراءات التي تقود زوار الموقع المطمئنين إلى البرمجيات الخبيثة. هذا النهج يدل على استراتيجية واسعة النطاق لجمع الضحايا المحتملين وبيع الوصول إلى شبكاتهم لمنظمات أخرى، بما في ذلك عصابات الفدية.

يظهر استهداف Mistic أنه انتهازي؛ فالمهاجمون يلقون شبكة واسعة ثم يقومون بتقييم أي المنظمات يمكنهم بيع الوصول إليها، بدلاً من التركيز على قطاع واحد. وقد لوحظ وجود ModeloRAT في هجمات أسقطت برمجية الفدية Qilin، مما يؤكد العلاقة الوثيقة بين وسطاء الوصول الأولي ومجموعات الفدية. هذا التعاون يجعل من الصعب تتبع المهاجمين الأصليين ويضيف طبقة من التعقيد إلى استجابات الحوادث.

الاتجاه نحو استخدام الأدوات المخصصة في هجمات الفدية يتزايد بشكل ملحوظ. لا يقتصر الأمر على Mistic فحسب، بل هناك العديد من الأمثلة على مجموعات الفدية التي تستخدم أدوات مخصصة لاستخراج البيانات وغيرها من الأغراض. هذا يشير إلى نضج أكبر في سوق الهجمات السيبرانية، حيث يتم تطوير أدوات متخصصة بدلاً من الاعتماد على أدوات جاهزة. خبراء الأمن يشيرون إلى أن Backdoor.Mistic يمثل استمرارًا لهذا الاتجاه، وعلى الأرجح تم تطويره بواسطة وسطاء الوصول الذين يعملون مع شركات الفدية التابعة بدلاً من مجموعة فدية بحد ذاتها، مما يعكس تخصصًا متزايدًا في سلسلة التوريد للهجمات السيبرانية.

رؤية Glitch4Techs

يكشف ظهور باب Mistic الخلفي عن مستوى مقلق من التطور في تكتيكات المهاجمين. إن قدرته على العمل بصمت داخل الذاكرة واستخدام تقنيات التحميل الجانبي لـ DLLs يجعله كابوسًا لأي فريق أمني يعتمد على الكشف القائم على الملفات أو التوقيعات التقليدية. إن ميزة مفتاح الإيقاف الذاتي لا تزيد من صعوبة التحقيق الجنائي فحسب، بل تسمح للمهاجمين بالاختفاء دون أثر، مما يحبط جهود الاستجابة ويمنحهم ميزة كبيرة.

من منظور Glitch4Techs، يجب على المؤسسات أن تعيد تقييم استراتيجياتها الأمنية، مع التركيز بشكل أكبر على الكشف السلوكي وتحليل الأنشطة غير الطبيعية في الذاكرة والشبكة. الاعتماد على أدوات أمن نقاط النهاية القادرة على مراقبة العمليات الجارية في الذاكرة (memory forensics) ورصد أنماط الاتصال المشبوهة مع خوادم C2 أصبح أمرًا حتميًا. كما أن التوعية الأمنية للموظفين تلعب دورًا حيويًا، خاصة مع استمرار KongTuke في استخدام طرق الهندسة الاجتماعية مثل رسائل Microsoft Teams المزيفة وإضافات المتصفح الخبيثة.

التصنيف الابتكاري لـ Mistic كأداة مطورة من قبل وسطاء الوصول الأوليين يؤكد على تعقيد مشهد التهديدات الحالي. لم يعد الفصل واضحًا بين الجهات الفاعلة؛ فوسطاء الوصول الأوليون لا يقومون فقط بتوفير الدخول الأولي، بل يشاركون في تطوير أدوات معقدة تخدم أهدافًا طويلة الأمد. هذا التخصص يدعو إلى تعاون أمني أوسع وتبادل معلومات التهديد بشكل أسرع وأكثر فعالية بين المنظمات وشركات الأمن السيبراني. إن الفشل في فهم هذه الديناميكيات الجديدة يعني ترك الأبواب مفتوحة أمام مجموعات مثل KongTuke التي تبحث عن موطئ قدم خفي ومستمر داخل الشبكات الحيوية.