Backdoor.Mistic : nouveau backdoor furtif lié à l'IAB Woodgnat et aux ransomwares Qilin

🔍 Contexte

Rapport publié le 24 juin 2026 par la Threat Hunter Team de Symantec (Broadcom). L’article documente un nouveau backdoor baptisé Backdoor.Mistic, actif depuis avril 2026, et son association probable avec l’initial access broker (IAB) suivi sous les noms Woodgnat (Symantec) et KongTuke (public). Le backdoor a également été documenté par Zscaler sous le nom MLTBackdoor.

🎯 Ciblage

Le ciblage est opportuniste, couvrant plusieurs secteurs :

• Assurance
• Éducation
• IT
• Services professionnels

D’autres activités liées à ModeloRAT et Node.js ont été observées dès février 2026 dans d’autres organisations, sans déploiement de Mistic.

🛠️ Capacités de Backdoor.Mistic

• Exécution de payloads distants directement en mémoire (aucun fichier écrit sur disque)
• Upload/download, déplacement, renommage, suppression de fichiers
• Création de dossiers
• Modification de la fréquence de check-in C2
• Kill switch : auto-suppression
• Chargement via DLL sideloading : MpExtMs.exe (légitime) → version.dll (loader) → EndpointDlp.dll (Mistic)
• Un stealer de credentials sous forme de .NET DLL affichant un faux écran de connexion est également déployé

🔗 Lien avec Woodgnat / KongTuke

Woodgnat est un IAB financièrement motivé, actif depuis au moins mai 2024, lié publiquement aux ransomwares : Qilin, Interlock, Rhysida, Akira, 8Base, Black Basta.

Ses vecteurs d’infection évoluent dans le temps :

• ClickFix (début 2025) : faux CAPTCHA/erreur → exécution de scripts via Run dialog
• FileFix (mi-2025) : commandes malveillantes via la barre d’adresse de l’Explorateur Windows
• CrashFix (début 2026) : crash délibéré du navigateur → exécution de code sous prétexte de “réparation”
• Depuis avril 2026 : chats Microsoft Teams externes avec prétexte helpdesk → séquence “paste-and-run” PowerShell

L’infrastructure repose sur des sites WordPress compromis via plugins vulnérables, credentials volés ou phishing, avec injection de JavaScript profilant les visiteurs.

🧰 Outillage associé à Woodgnat

• ModeloRAT : RAT Python, communications C2 chiffrées RC4, persistance via clé Run, multiples chemins C2 redondants
• WinPython (WPy64-31401) : distribution Python portable signée, utilisée comme runtime pour ModeloRAT
• NexShield : extension Chrome malveillante imitant uBlock Origin Lite
• GateKeeper : payload .NET avec chiffrement multicouche et anti-analyse
• MintsLoader / D3F@ck Loader : loaders commodity
• Node.exe : runtime Node.js légitime détourné
• Finger.exe : LOLBIN utilisé depuis fin 2025 pour récupérer des payloads obfusqués

📄 Type d’article

Publication de recherche en threat intelligence, visant à documenter un nouveau malware, établir ses liens avec un acteur connu, et fournir des IOCs exploitables pour la détection et la réponse aux incidents.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Woodgnat (cybercriminal) —
• KongTuke (cybercriminal) —

TTP

• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1055 — Process Injection (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
• T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1560 — Archive Collected Data (Collection)
• T1087.002 — Account Discovery: Domain Account (Discovery)
• T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1056.002 — Input Capture: GUI Input Capture (Credential Access)
• T1113 — Screen Capture (Collection)
• T1018 — Remote System Discovery (Discovery)
• T1482 — Domain Trust Discovery (Discovery)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1584.004 — Compromise Infrastructure: Server (Resource Development)
• T1505.003 — Server Software Component: Web Shell (Persistence)
• T1176 — Browser Extensions (Persistence)

IOC

• IPv4 : 142.93.242.144 — AbuseIPDB · VT · ThreatFox
• IPv4 : 144.31.53.78 — AbuseIPDB · VT · ThreatFox
• IPv4 : 198.13.159.44 — AbuseIPDB · VT · ThreatFox
• IPv4 : 199.91.221.42 — AbuseIPDB · VT · ThreatFox
• Domaines : authorized-logins.net — VT · URLhaus · ThreatFox
• Domaines : b6w9m2z5x8q1v3k.top — VT · URLhaus · ThreatFox
• Domaines : carrolc.com — VT · URLhaus · ThreatFox
• Domaines : cj06y9v4xab.com — VT · URLhaus · ThreatFox
• Domaines : cwrtwright.com — VT · URLhaus · ThreatFox
• Domaines : defs.updater-worelos.com — VT · URLhaus · ThreatFox
• Domaines : ftps.upd-domain-goloro.com — VT · URLhaus · ThreatFox
• Domaines : grande-luna.top — VT · URLhaus · ThreatFox
• Domaines : human-check.top — VT · URLhaus · ThreatFox
• Domaines : mail.authorized-logins.net — VT · URLhaus · ThreatFox
• Domaines : mailes.upd-domain-goloro.com — VT · URLhaus · ThreatFox
• Domaines : mails.updater-worelos.com — VT · URLhaus · ThreatFox
• Domaines : mueleer.com — VT · URLhaus · ThreatFox
• Domaines : nano.upscale-kolo.com — VT · URLhaus · ThreatFox
• Domaines : oeannon.com — VT · URLhaus · ThreatFox
• Domaines : php.authorized-logins.net — VT · URLhaus · ThreatFox
• Domaines : rotoa-upda-lo.com — VT · URLhaus · ThreatFox
• Domaines : sql-updater-service.com — VT · URLhaus · ThreatFox
• Domaines : sss.authorized-logins.net — VT · URLhaus · ThreatFox
• Domaines : thomphon.com — VT · URLhaus · ThreatFox
• Domaines : upd-domain-goloro.com — VT · URLhaus · ThreatFox
• Domaines : update.update-fall.com — VT · URLhaus · ThreatFox
• Domaines : updater-worelos.com — VT · URLhaus · ThreatFox
• Domaines : upscale-kolo.com — VT · URLhaus · ThreatFox
• Domaines : w3xasv14culvnqj.top — VT · URLhaus · ThreatFox
• URLs : http://thomphon.com/update.msi — URLhaus
• SHA256 : 1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984 — VT · MalwareBazaar
• SHA256 : 34d798a6c55e57ed0932b6499f4fbcb5454bdfca903307be101a0594b0ac07bc — VT · MalwareBazaar
• SHA256 : 3f797a639bc855bc6d5471f327924b62d10900ddec49b970eca6604142bbb4be — VT · MalwareBazaar
• SHA256 : 59e3c4cb06331b4f2d78a9a0592f3747e573bd01c5a7650c26361d1e25520712 — VT · MalwareBazaar
• SHA256 : 8c935feec4bd05d5d918df308be417532fb42608fb989a08eab183e0ae699235 — VT · MalwareBazaar
• SHA256 : afd5f1ed45a9867daf3bc64152cef460a06b164c8183e490db39146d4749a82c — VT · MalwareBazaar
• SHA256 : db972979d508e75fe730d3b72c2701470fbdaeaf8ebdd674744754fa44438ca5 — VT · MalwareBazaar
• SHA256 : f591275a8f014b29e567529d67c54eb7bb4473db1c38737d6bfd5b3d52c9344e — VT · MalwareBazaar
• SHA256 : fb3630822b70bacb56aa4cec29b5a0e3e9acb3920809e70310a4003385a6d34a — VT · MalwareBazaar
• Fichiers : EndpointDlp.dll
• Fichiers : version.dll
• Fichiers : f.dll
• Fichiers : n.dll
• Fichiers : aeff97fe.msi
• Fichiers : 48b47c0.msi
• Fichiers : MpExtMs.exe
• Chemins : HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Malware / Outils

• Backdoor.Mistic (backdoor)
• ModeloRAT (rat)
• MLTBackdoor (backdoor)
• GateKeeper (loader)
• MintsLoader (loader)
• D3F@ck Loader (loader)
• NexShield (other)
• WinPython (tool)
• Node.exe (tool)
• Finger.exe (tool)

🟢 Indice de vérification factuelle : 75/100 (haute)

• ⬜ security.com — source non référencée (0pts)
• ✅ 14548 chars — texte complet (fulltext extrait) (15pts)
• ✅ 47 IOCs dont des hashes (15pts)
• ✅ 9/10 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 27 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Woodgnat, KongTuke (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 142.93.242.144 (ip) → VT (14/91 détections)
• 144.31.53.78 (ip) → VT (3/91 détections)
• 198.13.159.44 (ip) → VT (12/91 détections) + ThreatFox (KongTuke)
• 1e41c7bfaa6aa3b9… (sha256) → VT (44/76 détections)
• 34d798a6c55e57ed… (sha256) → VT (19/76 détections)

🔗 Source originale : https://www.security.com/threat-intelligence/new-mistic-backdoor-modelorat