Backdoor Mistic Baru Terkait KongTuke dalam Kampanye ClickFix dan ModeloRAT

Backdoor baru bernama Mistic telah digunakan dalam serangkaian serangan yang diduga bermotif finansial dan menargetkan berbagai organisasi di sektor asuransi, pendidikan, TI, dan jasa profesional sejak April 2026. Penemuan ini diungkapkan oleh tim Threat Hunter dari Symantec dan Carbon Black.

Backdoor ini yang juga dikenal dengan nama MLTBackdoor, dikaitkan dengan broker akses awal (IAB) KongTuke (yang juga dikenal dengan beberapa alias seperti 404 TDS, Chaya_002, LandUpdate808, TAG-124, dan Woodgnat). Mistic biasanya disebarkan bersamaan dengan ModeloRAT, sebuah trojan akses jarak jauh (RAT) berbasis Python yang sebelumnya telah diatribusikan ke grup tersebut.

"Backdoor ini menjalankan payload langsung di memori tanpa menulis file ke disk dan dilengkapi dengan kill switch yang memungkinkan ia menghapus dirinya sendiri, fitur ini konsisten dengan operator yang menginginkan akses jangka panjang dengan visibilitas rendah," ujar tim keamanan siber Broadcom dalam laporan yang dibagikan ke The Hacker News.

Metode Penyebaran ClickFix dan Eksekusi Stealth

ModeloRAT pertama kali terdeteksi oleh Huntress pada Januari 2026 terkait dengan varian kampanye ClickFix bernama CrashFix. Dalam kampanye ini, pelaku KongTuke menggunakan ekstensi Google Chrome berbahaya yang menyamar sebagai pemblokir iklan untuk menjatuhkan browser korban secara sengaja dan menipu mereka agar menjalankan perintah arbitrer dengan dalih melakukan pemindaian keamanan.

Kampanye ClickFix lain yang melibatkan ModeloRAT menggunakan perintah untuk melakukan pencarian Domain Name System (DNS) guna mengambil payload tahap berikutnya. Microsoft mencatat bahwa rantai serangan ini memanfaatkan DNS sebagai "saluran sinyal atau staging ringan" untuk menghindari deteksi.

Menurut Zscaler ThreatLabz, penggunaan ClickFix sebagai vektor pengiriman Mistic mengindikasikan aktor ancaman yang terkait dengan ransomware berusaha membangun pijakan untuk pergerakan lateral di jaringan target.

Teknik DLL Side-Loading dan Kemampuan Backdoor Mistic

Broadcom juga mengungkapkan bahwa Mistic memanfaatkan teknik DLL side-loading dengan memanfaatkan alat keamanan endpoint Microsoft bernama "MpExtMs.exe" agar tampak sah dan menghindari kecurigaan. Backdoor ini berjalan langsung di memori dan menawarkan berbagai kemampuan yang biasanya ditemukan pada malware jenis ini, antara lain:

• Mengunggah atau mengunduh file
• Memindahkan, mengganti nama, atau menghapus file
• Membuat folder baru
• Memodifikasi interval waktu polling ke server perintah jarak jauh (C2)
• Menjalankan kode dari server C2 langsung di memori tanpa meninggalkan jejak di disk
• Memuat Beacon Object Files (BOFs) untuk memperluas kemampuan secara dinamis
• Berhenti dan menghapus dirinya sendiri

Symantec dan Carbon Black menambahkan bahwa sasaran serangan ini tampak oportunistik. Pelaku menyebar secara luas dan kemudian memilih organisasi mana yang aksesnya dapat dijual, bukan menargetkan satu sektor secara spesifik. ModeloRAT juga teramati digunakan dalam serangan yang mengaktifkan ransomware Qilin.

Strategi dan Perkembangan Terbaru KongTuke

KongTuke dikenal mengoperasikan sistem distribusi trafik (TDS) yang dibangun di atas situs WordPress yang telah dikompromikan. Sistem ini digunakan untuk menyajikan berbagai umpan yang terus berkembang guna mengarahkan pengunjung yang tidak curiga ke malware. Baru-baru ini, bahkan ditemukan bahwa aktor ini mengirim pesan Microsoft Teams dari akun dukungan IT palsu untuk memicu rantai serangan yang berujung pada penyebaran ModeloRAT.

"Keahlian pengembangan backdoor yang stealthy ini cukup mengesankan, dan indikasi bahwa Woodgnat mungkin juga berada di balik pengembangan ModeloRAT menunjukkan kelompok ini sangat terampil dalam menciptakan alat akses jarak jauh yang tersembunyi," ujar Broadcom.

Fenomena penggunaan alat khusus dalam serangan ransomware kini semakin umum. Banyak kelompok ransomware yang menggunakan alat khusus untuk eksfiltrasi data dan fungsi lainnya. Backdoor.Mistic tampaknya melanjutkan tren ini, meski kemungkinan besar dikembangkan oleh broker akses yang bekerja sama dengan afiliasi ransomware, bukan oleh kelompok ransomware itu sendiri.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan backdoor Mistic menandai peningkatan signifikan dalam kompleksitas dan kecanggihan modus serangan siber yang dilakukan oleh broker akses awal seperti KongTuke. Teknik stealth seperti eksekusi di memori dan penggunaan DLL side-loading menunjukkan bahwa pelaku semakin lihai menghindari deteksi alat keamanan tradisional.

Hal ini juga memperjelas bahwa ancaman ransomware kini tidak hanya dari kelompok ransomware itu sendiri, tetapi juga dari jaringan broker akses yang menyediakan pintu masuk ke infrastruktur korban. Oleh karena itu, organisasi harus meningkatkan deteksi anomali dengan solusi keamanan yang mampu memantau aktivitas memori dan pola komunikasi DNS yang mencurigakan.

Ke depan, penting bagi para profesional keamanan untuk mengawasi perkembangan teknik distribusi malware yang menggunakan platform populer seperti WordPress dan aplikasi kolaborasi seperti Microsoft Teams, karena ini menjadi vektor serangan yang semakin diminati oleh pelaku ancaman.

Untuk mengikuti perkembangan terbaru dan analisis mendalam lainnya, silakan kunjungi laporan lengkap di The Hacker News dan sumber terpercaya lainnya.