Neue „Mistic“-Backdoor mit Ransomware-Access-Broker KongTuke verknüpft — ClickFix- und ModeloRAT-Kampagnen

Kurzfazit
Eine neue, getarnte Backdoor namens „Mistic“ wird in finanziell motivierten Angriffen gegen Organisationen aus Versicherung, Bildung, IT und professionellen Dienstleistungen eingesetzt. Forscher verknüpfen sie mit dem Ransomware-Access-Broker KongTuke sowie mit ClickFix- und ModeloRAT-Kampagnen.
Was ist passiert?
Forscher haben eine neue, getarnte Backdoor namens „Mistic“ entdeckt, die in finanziell motivierten Angriffen auf mehrere Organisationen eingesetzt wird. Betroffen sind laut den Quellen die Sektoren Versicherung, Bildung, IT und professionelle Dienstleistungen. Die Backdoor wird mit dem Ransomware-Access-Broker KongTuke in Verbindung gebracht und tritt im Kontext von ClickFix- und ModeloRAT-Kampagnen auf.
Warum ist das relevant?
Access Broker wie KongTuke verschaffen sich Erstzugang und verkaufen ihn an Ransomware-Gruppen weiter — eine Mistic-Infektion kann daher der Vorbote eines Ransomware-Angriffs sein. „ClickFix“ bezeichnet eine verbreitete Social-Engineering-Masche, bei der Opfer durch gefälschte Fehlermeldungen/Anweisungen selbst Schadbefehle ausführen. Eine getarnte Backdoor in dieser Kette erhöht das Risiko, dass ein Erstzugang unentdeckt bleibt und eskaliert.
Betroffene Branchen und Technologien
Laut Quellen im Fokus: Versicherung, Finanz-/professionelle Dienstleistungen, Bildung und IT. Die Angriffe sind finanziell motiviert; eine technologische Eingrenzung geht aus den Rohdaten nicht hervor.
Priorisierungssignale
- Verbindung zu Ransomware-Access-Broker (KongTuke)
- Aktive, finanziell motivierte Kampagnen
- ClickFix-Social-Engineering als Verbreitungsweg
- Getarnte Backdoor (erschwerte Erkennung)
Defensive Empfehlungen
- Mitarbeitende für ClickFix-Maschen sensibilisieren: Aufforderungen, Befehle/Tastenkombinationen (z. B. in der Eingabeaufforderung/PowerShell) auszuführen, sind ein Warnsignal.
- Ausführung über Run-Dialog/Skript-Hosts (mshta, PowerShell) einschränken und überwachen.
- Auf Mistic-/KongTuke-Indikatoren hunten (sobald IOCs aus den Quellen vorliegen) und früh nach Anzeichen von Access-Broker-Aktivität suchen.
- Ransomware-Resilienz prüfen (Backups, Segmentierung), da Mistic als Wegbereiter dienen kann.
Quellenhinweise
Grundlage sind übereinstimmende Berichte von The Hacker News und BleepingComputer. Konkrete IOCs sind in den Rohdaten nicht enthalten.
Was Security-Teams jetzt prüfen sollten
- 1Mitarbeitende für ClickFix-Maschen sensibilisieren (Aufforderung, selbst Befehle auszuführen = Warnsignal).
- 2Ausführung über Run-Dialog/Skript-Hosts (mshta, PowerShell) einschränken und überwachen.
- 3Auf Mistic-/KongTuke-Indikatoren hunten, sobald IOCs vorliegen; früh nach Access-Broker-Aktivität suchen.
- 4Ransomware-Resilienz prüfen (Backups, Segmentierung, Wiederanlauf).
- 5EDR-Erkennung gegen getarnte Backdoors und ungewöhnliche Persistenz schärfen.
Betroffene Branchen
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 30. Juni 2026