الباب الخلفي Mistic ظهر في هجمات سيبرانية جديدة استهدفت شركات من قطاعات التأمين والتعليم وتقنية المعلومات منذ أبريل 2026، مع اعتماد أساليب تخفٍ متقدمة.
ما هو الباب الخلفي Mistic ولماذا يثير القلق؟
يرتبط Mistic بسلسلة هجمات مالية الدافع، ويُستخدم لمنح المهاجمين وصولاً خفياً وطويل الأمد داخل الشبكات المصابة. الخطورة هنا أنه لا يحتاج إلى كتابة ملف واضح على القرص، ما يصعّب رصده على أدوات الحماية التقليدية.
كما أن البرمجية تتضمن ما يشبه "مفتاح قتل" يسمح لها بحذف نفسها عند الحاجة. ووفق متابعة تيكبامين، فهذا النوع من السلوك يشير عادة إلى رغبة المهاجمين في تقليل الآثار الرقمية وإبقاء وجودهم سرياً لأطول فترة ممكنة.
أبرز قدرات البرمجية
- تشغيل الحمولة الخبيثة مباشرة في الذاكرة.
- القدرة على حذف نفسها لتقليل فرص التحليل الجنائي.
- الاندماج مع أدوات موثوقة لتفادي الشبهات.
- تهيئة بيئة مناسبة لهجمات لاحقة مثل الحركة الجانبية أو نشر برمجيات فدية.
كيف تُنفذ هجمات ClickFix المرتبطة بـ Mistic؟
تعتمد الحملة على أسلوب ClickFix، وهو تكتيك هندسة اجتماعية يدفع الضحية لتشغيل أوامر بنفسها بحجة إصلاح مشكلة تقنية أو إجراء فحص أمني. هذه الطريقة تمنح المهاجمين نقطة دخول أولية من دون الحاجة إلى استغلال معقد منذ البداية.
في بعض السيناريوهات، استُخدمت إضافات متصفح مزيفة تتنكر كأدوات حظر إعلانات أو دعم أمني. وبعدها يُطلب من المستخدم تنفيذ أوامر تبدو شرعية، لكنها في الحقيقة تستدعي الحمولة التالية وتفتح الباب أمام التحكم بالجهاز.
- الطُعم يبدأ برسالة أو صفحة تبدو موثوقة.
- يُطلب من الضحية تنفيذ أمر يدوي على النظام.
- تُستخدم استعلامات DNS أحياناً لجلب المرحلة التالية.
- تنتهي السلسلة بتنزيل أدوات وصول عن بعد وبرمجيات خلفية.
ما علاقة KongTuke وModeloRAT بهذه الهجمات؟
تشير المؤشرات إلى ارتباط Mistic بجهة وصول أولي تُعرف باسم KongTuke، وهي جهة اشتهرت بإدارة بنية توزيع مرور خبيث عبر مواقع ووردبريس مخترقة. الهدف ليس دائماً ضرب قطاع واحد، بل جمع أكبر عدد ممكن من الضحايا ثم تقييم من يمكن استغلاله أو بيع الوصول إليه.
كما ظهر مع Mistic برنامج ModeloRAT، وهو حصان طروادة للوصول عن بعد مبني بلغة بايثون. هذا الدمج يمنح المهاجمين مرونة أكبر بين الدخول الأولي، والمراقبة، والتحرك لاحقاً داخل الشبكة المستهدفة.
القطاعات التي ظهرت ضمن الاستهداف
- التأمين
- التعليم
- خدمات تقنية المعلومات
- الخدمات المهنية
كيف يتخفى الباب الخلفي Mistic داخل الأنظمة؟
من أخطر ما يميز الحملة اعتمادها على تقنية DLL side-loading، حيث تُستغل أداة موثوقة من مايكروسوفت مثل MpExtMs.exe لتشغيل مكوّنات خبيثة بشكل يبدو طبيعياً أمام بعض حلول الحماية. هذا الأسلوب يمنح البرمجية غطاءً شرعياً ويؤخر اكتشافها.
بحسب ما رصدته تيكبامين، فإن الباب الخلفي Mistic لا يمثل مجرد عدوى تقليدية، بل خطوة تمهيدية قد تقود إلى سرقة بيانات، أو بيع الوصول، أو حتى نشر برمجيات فدية لاحقاً. لذلك يبقى الوعي برسائل الدعم المزيّفة، ومنع تشغيل الأوامر غير الموثوقة، وتحديث أدوات الحماية، من أهم وسائل تقليل خطر هذا التهديد.
