隐蔽性极强的内存驻留后门
自2026年4月起,一种名为Mistic的新型Windows后门程序在企业网络中悄然扩散。该恶意软件通过完全在内存中执行载荷的方式实现持久化访问,不向硬盘写入任何恶意文件,使得传统依赖磁盘文件扫描的安全检测工具大面积失效。目前已在保险、教育、信息技术和专业服务等多个行业发现其攻击活动,攻击者表现出明显的机会主义特征而非针对特定行业。
PolySwarm分析师指出,该威胁可能代表着初始访问代理(access brokers)工具的升级进化——这类犯罪者专门入侵企业网络后,将访问权限转售给勒索软件组织。安全研究人员观察到Mistic与ModeloRAT(一种基于Python的远程访问木马)协同运作,后者与代号Woodgnat(公开名KongTuke)的金融动机黑客组织存在关联。

社会工程与高级规避技术
根据PolySwarm与赛门铁克威胁猎杀团队提交的报告,攻击者通过伪造浏览器崩溃页面和虚假验证码测试等社会工程手段,诱骗受害者执行攻击者提供的PowerShell命令来部署Mistic后门。该恶意软件具有三项显著特征:
- 采用DLL侧加载技术,利用合法的Microsoft可执行文件MpExtMs.exe加载名为EndpointDlp.dll的恶意DLL(仿冒微软端点安全组件名称)
- 内置清除开关,可应攻击者指令完全清除自身痕迹
- 附带.NET DLL凭证窃取模块,通过伪造登录界面窃取用户凭据
Mistic激活后会连接C2服务器等待指令,具备文件上传下载、目录管理、内存代码执行等能力。攻击链中还发现攻击者滥用PowerShell、certutil、WMIC和curl.exe等合法Windows工具的情况。
Woodgnat组织的访问代理业务
证据表明Mistic与Woodgnat组织存在关联,该犯罪团伙至少自2024年5月起活跃,核心业务是为勒索软件 affiliates提供初始网络访问权限。其典型攻击链包括:
- 通过存在漏洞的WordPress插件或被盗凭证入侵网站
- 注入用于社会工程攻击的JavaScript代码
- 攻击手法从ClickFix虚假错误页面逐步演变为FileFix、CrashFix技术
- 2026年4月起新增伪造Microsoft Teams帮助台聊天界面
安全建议企业重点监控以下异常行为:
- 异常的DLL侧加载活动(特别是微软合法程序加载非常规文件)
- curl.exe、certutil等系统工具的非正常使用
- 采用基于行为的检测和内存分析技术替代传统特征码检测
入侵指标(IoC):
注:IP地址和域名已做无害化处理,实际威胁情报平台使用时需恢复标准格式)


