منذ أبريل 2026، رُصدت هجمات سيبرانية متقدمة تستهدف قطاعات التأمين والتعليم والخدمات التقنية والمهنية، عبر نشر باب خلفي جديد يُعرف باسم Mistic أو MLTBackdoor. هذا الباب الخلفي، بحسب فرق الصيد السيبراني في Symantec وCarbon Black، يرتبط بوسيط وصول أولي (IAB) يُدعى KongTuke المعروف أيضًا بأسماء متعددة مثل 404 TDS وChaya_002 وLandUpdate808 وTAG-124 وWoodgnat. الأخطر أن هذه الهجمات لم تقتصر على نشر Mistic، بل ترافقت مع نشر ModeloRAT، وهو حصان طروادة للتحكم عن بُعد مكتوب بلغة بايثون سبق أن نُسب إلى المجموعة نفسها.
خلفية عن حملات ClickFix وModeloRAT
ظهر اسم ModeloRAT لأول مرة في يناير 2026 عبر شركة Huntress، حين رُبط بحملة CrashFix التي استخدم فيها مهاجمو KongTuke إضافة خبيثة لمتصفح Google Chrome تتظاهر بأنها أداة لحجب الإعلانات. الهدف كان تعطيل المتصفح عمدًا ودفع الضحية إلى تنفيذ أوامر عشوائية تحت ذريعة إجراء فحص أمني. لاحقًا، وزّع المهاجمون البرمجية في حملة أخرى عبر ClickFix، حيث استُخدم بروتوكول نظام أسماء النطاقات (DNS) كقناة مرحلية خفيفة لاستدعاء الحمولة التالية. مايكروسوفت أوضحت أن هذه التقنية تستغل DNS كقناة إشارة أو تمهيدية، وهو ما يعكس براعة في استغلال البنى التحتية الأساسية للإنترنت.
تقنيات التخفي والقدرات التشغيلية
ما يميز Mistic أنه يعمل مباشرة في الذاكرة دون كتابة ملفات على القرص، ويملك مفتاح قتل يمكّنه من حذف نفسه لتقليل فرص اكتشافه. يعتمد أيضًا على تقنية DLL Side-Loading عبر أدوات أمنية موثوقة من مايكروسوفت مثل “MpExtMs.exe”، ما يسمح له بالاندماج في النظام دون إثارة الشبهات. قدراته تشمل رفع وتنزيل الملفات، إعادة تسميتها أو حذفها، إنشاء مجلدات، تعديل فترات الاستعلام من الخادم، تنفيذ أوامر مباشرة في الذاكرة، تحميل وحدات BOFs لتوسيع الوظائف، وأخيرًا القدرة على إنهاء نفسه ومسح آثاره. هذه الخصائص تجعل منه أداة مثالية للوصول طويل الأمد منخفض الظهور.
كونغ توك.. وسيط وصول يبيع الأبواب الخلفية
يُعرف KongTuke بامتلاكه نظام توزيع حركة (TDS) يعتمد على مواقع ووردبريس مخترقة، حيث يُستخدم لتوجيه الزوار إلى برمجيات خبيثة عبر طُعوم متجددة باستمرار. في مايو الماضي، كشفت شركتا Rapid7 وReliaQuest أن المجموعة انتقلت إلى إرسال رسائل عبر Microsoft Teams من حسابات دعم فني مزيفة، لتفعيل سلسلة هجوم تنتهي بنشر ModeloRAT. هذا التحول يعكس مرونة المجموعة في استغلال منصات التواصل المؤسسية كوسيلة للوصول إلى الشبكات الداخلية، وهو ما يزيد من خطورة نشاطها.
دلالات استراتيجية وتوجهات جديدة
تقرير Broadcom أشار إلى أن مجموعة Woodgnat، المرتبطة بـKongTuke، قد تكون وراء تطوير ModeloRAT، ما يبرز مستوى عالٍ من الخبرة في بناء أدوات وصول خفية. كما أن استخدام أدوات مخصصة في هجمات الفدية أصبح ظاهرة متزايدة، حيث تلجأ المجموعات إلى تطوير برمجيات خاصة لسرقة البيانات أو تثبيت الأبواب الخلفية. في حالة Mistic، يبدو أن تطويره جاء من وسطاء وصول يعملون مع شركاء في عالم الفدية، وليس من مجموعة فدية بحد ذاتها. هذا يعكس تطورًا في نموذج الأعمال الإجرامي، حيث يتم بيع الوصول إلى شبكات المؤسسات بدلًا من تنفيذ الهجمات مباشرة، ما يوسع دائرة الاستهداف ويزيد من تعقيد المشهد الأمني العالمي.






























