ModeloRAT e backdoor Mistic são ligados a broker de acesso de ransomware

O ModeloRAT, um RAT escrito em Python, e a nova backdoor Mistic estão diretamente ligados ao Woodgnat (também conhecido como KongTuke), um broker de acesso focado em lucro. O grupo usa pacotes WinPython portáteis com pythonw.exe assinado para entregar o ModeloRAT, comunicando-se com servidores C2 via RC4 criptografado. Já a Mistic, observada desde abril de 2026, é carregada em memória por meio do MpExtMs.exe, que faz side-loading de uma DLL maliciosa chamada EndpointDlp.dll. A backdoor evita deixar rastros em disco e inclui um mecanismo de autoexclusão, reforçando seu foco em acessos duradouros e discretos.

As táticas do Woodgnat evoluíram para incluir iscas como ClickFix, FileFix e CrashFix, além de golpes no Microsoft Teams onde enganam usuários com pretexto de suporte técnico para executarem comandos PowerShell via 'paste-and-run'. Essa abordagem rápida já resultou em implantação de ransomware como Qilin, Rhysida e Akira. A combinação de técnicas LOLBAS, uso de binários assinados e persistência disfarçada de ferramentas legítimas mostra um perfil operacional altamente adaptável e focado em evitar detecção.

Woodgnat não ataca verticalmente, mas espalha acesso a múltiplas verticais, seguradoras, educação, TI e serviços profissionais, tornando qualquer empresa um alvo potencial. Seu papel como broker de acesso direto para grupos de ransomware significa que uma única falha de segurança pode desencadear um ataque devastador em semanas ou até dias. A ausência de arquivos em disco e o uso de componentes que imitam soluções de segurança dificultam a detecção forense. Para defensores, isso exige monitoramento rigoroso de comportamentos anômalos: carregamento inesperado de DLLs suspeitas por processos legítimos, execução de scripts desconhecidos via pythonw.exe assinado, e entradas de Run key com nomes de ferramentas remotas.