Depuis avril 2026, une nouvelle porte dérobée nommée Mistic a été détectée dans des attaques ciblant divers secteurs tels que l’assurance, l’éducation, les technologies de l’information et les services professionnels. (helpnetsecurity.com)
Mistic est un malware sophistiqué qui s’exécute entièrement en mémoire, sans laisser de traces sur le disque dur, ce qui le rend difficile à détecter par les solutions de sécurité traditionnelles. De plus, il dispose d’un mécanisme d’autodestruction, permettant aux attaquants de le supprimer à distance, effaçant ainsi les preuves de leur intrusion. (theregister.com)
Ce programme malveillant est lié à un courtier en accès initial (IAB) connu sous le nom de KongTuke, également désigné par les noms de code Woodgnat, 404 TDS, Chaya_002, LandUpdate808, TAG-124 et MLTBackdoor. KongTuke se spécialise dans l’accès aux réseaux d’entreprises, qu’il revend ensuite à des groupes de ransomware tels que Qilin, Interlock, Rhysida, Akira, 8Base et Black Basta. (techtimes.com)
Les attaques utilisant Mistic ont été observées dans des campagnes telles que ClickFix et ModeloRAT, où le malware est déployé en exploitant des techniques comme le side-loading de DLL et l’exécution de code en mémoire. Ces méthodes permettent aux attaquants d’établir un accès persistant et furtif aux systèmes compromis. (brightnexus.com)
Les organisations concernées sont invitées à renforcer leurs mes de sécurité, notamment en surveillant les activités suspectes liées au side-loading de DLL et en détectant les exécutions de code non autorisées en mémoire. Il est également recommandé de mettre à jour régulièrement les logiciels et de former le personnel aux bonnes pratiques en matière de cybersécurité.
