SecBoard
HochBranchenlageScore: 10/100

Neue „Mistic“-Backdoor mit Ransomware-Access-Broker KongTuke verknüpft — ClickFix- und ModeloRAT-Kampagnen

30. Juni 2026
Neue „Mistic“-Backdoor mit Ransomware-Access-Broker KongTuke verknüpft — ClickFix- und ModeloRAT-Kampagnen

Kurzfazit

Eine neue, getarnte Backdoor namens „Mistic“ wird in finanziell motivierten Angriffen gegen Organisationen aus Versicherung, Bildung, IT und professionellen Dienstleistungen eingesetzt. Forscher verknüpfen sie mit dem Ransomware-Access-Broker KongTuke sowie mit ClickFix- und ModeloRAT-Kampagnen.

Was ist passiert?

Forscher haben eine neue, getarnte namens „Mistic“ entdeckt, die in finanziell motivierten Angriffen auf mehrere Organisationen eingesetzt wird. Betroffen sind laut den Quellen die Sektoren Versicherung, Bildung, IT und professionelle Dienstleistungen. Die wird mit dem Ransomware-Access-Broker KongTuke in Verbindung gebracht und tritt im Kontext von ClickFix- und ModeloRAT-Kampagnen auf.

Warum ist das relevant?

Access Broker wie KongTuke verschaffen sich Erstzugang und verkaufen ihn an Ransomware-Gruppen weiter — eine Mistic-Infektion kann daher der Vorbote eines Ransomware-Angriffs sein. „ClickFix“ bezeichnet eine verbreitete Social-Engineering-Masche, bei der Opfer durch gefälschte Fehlermeldungen/Anweisungen selbst Schadbefehle ausführen. Eine getarnte in dieser Kette erhöht das Risiko, dass ein Erstzugang unentdeckt bleibt und eskaliert.

Betroffene Branchen und Technologien

Laut Quellen im Fokus: Versicherung, Finanz-/professionelle Dienstleistungen, Bildung und IT. Die Angriffe sind finanziell motiviert; eine technologische Eingrenzung geht aus den Rohdaten nicht hervor.

Priorisierungssignale

  • Verbindung zu Ransomware-Access-Broker (KongTuke)
  • Aktive, finanziell motivierte Kampagnen
  • ClickFix-Social-Engineering als Verbreitungsweg
  • Getarnte (erschwerte Erkennung)

Defensive Empfehlungen

  • Mitarbeitende für ClickFix-Maschen sensibilisieren: Aufforderungen, Befehle/Tastenkombinationen (z. B. in der Eingabeaufforderung/PowerShell) auszuführen, sind ein Warnsignal.
  • Ausführung über Run-Dialog/Skript-Hosts (mshta, PowerShell) einschränken und überwachen.
  • Auf Mistic-/KongTuke-Indikatoren hunten (sobald IOCs aus den Quellen vorliegen) und früh nach Anzeichen von Access-Broker-Aktivität suchen.
  • Ransomware-Resilienz prüfen (Backups, Segmentierung), da Mistic als Wegbereiter dienen kann.

Quellenhinweise

Grundlage sind übereinstimmende Berichte von The Hacker News und BleepingComputer. Konkrete IOCs sind in den Rohdaten nicht enthalten.

Was Security-Teams jetzt prüfen sollten

  • 1Mitarbeitende für ClickFix-Maschen sensibilisieren (Aufforderung, selbst Befehle auszuführen = Warnsignal).
  • 2Ausführung über Run-Dialog/Skript-Hosts (mshta, PowerShell) einschränken und überwachen.
  • 3Auf Mistic-/KongTuke-Indikatoren hunten, sobald IOCs vorliegen; früh nach Access-Broker-Aktivität suchen.
  • 4Ransomware-Resilienz prüfen (Backups, Segmentierung, Wiederanlauf).
  • 5EDR-Erkennung gegen getarnte Backdoors und ungewöhnliche Persistenz schärfen.

Betroffene Branchen

finanzenversicherungen

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 30. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Mistic#KongTuke#ClickFix#ModeloRAT#Backdoor#Access Broker#Ransomware