Misticは、バックドア型マルウェアです。
2026年4月頃から実際の活動が確認されていて、2026年6月に詳細な調査レポートが公開されたことでその特異な実態が浮き彫りになってきました。
いくつかその特徴を見てみましょう。
- 「分業制(エコシステム)」の徹底と明確化
- 従来
ランサムウェア攻撃といえば、一つの犯罪グループが侵入からデータの暗号化、身代金要求までをワンストップ(単独)で行うか、または密接なアフィリエイトと連携して行うのが主流でした。 - Misticの違い
このマルウェアを操る「Woodgnat(KongTuke)」は、「初期侵入ブローカー(IAB)」です。
彼らの目的はデータの破壊ではなく、「企業ネットワークへ長期的かつ強固な足場を築き、そのアクセス権をオークションのように他組織へ転売すること」に特化しています。
実際に、Misticで確保された足場は、Qilin、Rhysida、Akira、Black Bastaといった複数の全く異なる大手ランサムウェア組織に「商品」として横流しされています。
- 従来
- 「ClickFix」を起点とする新しいソーシャルエンジニアリング
- 従来
メールの添付ファイル(マクロ付きExcelなど)や、脆弱性を突いたリモートからの強制侵入が一般的でした。 - Misticの違い
最初の侵入に「ClickFix」と呼ばれる手法が使われています。
これは、ブラウザでWebサイトを見ている際に「Webページの表示エラーが発生しました。修復するためにこのPowerShellコマンドをコピーして実行してください」といった偽の警告を表示し、ユーザ自身の手でコマンドを実行させる手口です。
システム(機械)の脆弱性ではなく、人間の心理的な隙を突く罠が巧妙化しています。
- 従来
- Cobalt Strikeに依存しない「独自拡張性」と極限の隠蔽
- 従来
侵入後の遠隔操作や横移動(ネットワーク内の拡大)には、「Cobalt Strike(コバルトストライク)」などの市販・既製のペネトレーションテストツールを悪用するのが定番でした。
しかし、これらはセキュリティソフト(EDR)に対策されやすくなっています。 - Misticの違い
Misticは、独自の「BOF(Beacon Object File)ローダー」を本体に内蔵しています。
これにより、Cobalt Strikeそのものを使わなくても、メモリ上で動的に機能(認証情報の窃取や内部偵察など)を追加・拡張できます。
さらに、セキュリティソフトの監視をすり抜ける「間接システムコール」の悪用や、解析を妨害する強力なコード難読化、痕跡を完全に消し去る「キルスイッチ(自殺機能)」といった機能を備えており、従来の検知手法を無力化する設計になっています。
- 従来
Misticは、「高度なサイバー職人(ブローカー)が、セキュリティの目を完全に盗んで企業に潜伏し、その部屋の鍵をランサムウェアの凶悪犯たちに売り飛ばすために作った最新の万能鍵」といえます。
技術的な隠蔽性と、ビジネスモデルとしての分業体制の双方が非常に洗練されている点が、従来の事例との最大の違いです。
Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker
https://www.security.com/threat-intelligence/new-mistic-backdoor-modeloRAT
| この記事をシェア |
|
|---|
