文章总结: 本文披露了黑产团伙利用新型内存后门及社工钓鱼构建的勒索产业链。该后门采用无文件内存执行与动态链接库侧载技术,极难查杀。建议企业部署具备内存行为检测的终端防护,限制脚本执行权限,并加强全员防钓鱼培训以阻断攻击入口。 综合评分: 90 文章分类: 威胁情报,恶意软件,应急响应,终端安全,安全意识
紧急预警|新型Mistic内存后门泛滥!Woodgnat黑产团伙一条龙供货,企业沦陷后直接倒卖给Qilin勒索病毒
原创
AI紫队安全研究 AI紫队安全研究
AI紫队安全研究
2026年6月29日 11:59 广东
在小说阅读器读本章
去阅读
大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
导语
2026年4月起一款名为Backdoor.Mistic的隐形后门大规模扩散,背后是产业化黑产团伙Woodgnat(KongTuke)。团伙先用ClickFix/CrashFix社工钓鱼突破终端,再搭配ModeloRAT远控+Mistic内存后门双重驻留,拿下企业内网权限后打包出售给Qilin、Black Basta等勒索组织。全程无文件落地、自带自毁开关、伪装微软安全组件,传统杀毒几乎无法查杀,保险、教育、IT、服务业企业集中中招,完整攻击链+落地防御方案一次性拆解!
情报来源:Symantec、Zscaler 2026年6月联合威胁分析报告
一、产业化黑产:Woodgnat(KongTuke)——勒索团伙专属权限中间商
和APT间谍组织不同,Woodgnat是纯牟利初始访问经纪人(IAB),整套攻击工具流水线自产自销:
-
核心商业模式:通过钓鱼、漏洞入侵拿到企业长期内网权限,打包卖给各大勒索病毒团伙,不直接加密数据,靠售卖访问权限盈利;
-
合作勒索家族:Qilin、Interlock、Rhysida、Akira、8Base、Black Basta,全球主流勒索组织均与其交易;
-
工具矩阵自产:自研ModeloRAT Python远控、Mistic新型内存后门,配套多代社工钓鱼模板、多链路C2通信架构;
-
目标无差别撒网:不局限单一行业,保险、院校、科技公司、专业服务机构全是猎物,入侵后评估企业数据价值再转手。
团伙三代社工钓鱼套路(企业最高危入口)
从2025年至今持续迭代,专门诱导用户手动执行恶意PowerShell,避开漏洞查杀:
-
ClickFix(初代):仿人机验证弹窗,复制代码粘贴Win+R运行窗口;
-
FileFix(中期):伪造文档修复提示,诱导资源管理器地址栏粘贴指令;
-
CrashFix(2026主流):故意制造浏览器崩溃,弹出修复脚本引导执行;
-
最新Teams渠道:伪装企业IT运维,在外部分组下发修复命令,粘贴后5分钟完成持久化驻留。
攻击载体依托被入侵WordPress网站挂恶意JS,访客自动弹出虚假修复弹窗,零门槛完成引流。
二、新型隐形杀手:Backdoor.Mistic内存后门核心黑科技
Mistic是Woodgnat 2026年主推新一代后门,专门弥补ModeloRAT痕迹过重的短板,主打极致隐蔽,所有载荷内存运行,不落地磁盘文件:
- 伪装套路:借微软可信程序DLL侧载
攻击者利用合法签名程序MpExtMs.exe(微软相关进程)做宿主,通过劫持LoadLibraryW、GetModuleFileNameW API,强制加载恶意DLLEndpointDlp.dll:
文件名完全仿微软终端安全组件,运维肉眼排查极易忽略;
进程列表只显示正常MpExtMs.exe,无陌生程序,静态查杀无恶意文件特征;
配套窃取DLL f.dll,弹出虚假登录界面盗取域账号、365凭证。
- 无文件内存执行,自带自毁绝杀开关
所有远程指令、载荷直接在内存解析运行,硬盘不留任何病毒文件,磁盘全盘扫描完全失效;
内置Kill Switch自毁机制:攻击者下达指令后,后门自动清空自身内存、删除所有相关模块,事后无取证痕迹;
支持自定义心跳周期,可拉长上报间隔,长期静默潜伏数月不触发告警。
- 全套内网渗透功能,接管终端全权限
后门支持完整远程操作,覆盖窃密、横向移动全场景:
本地文件上传、下载、批量删除重命名;
远程内存执行任意恶意代码,无需落地;
自定义C2心跳上报频率,规避异常外联监控;
批量创建文件夹、遍历共享盘窃取资料;
一键触发自毁,清除所有入侵痕迹。
三、完整一条龙攻击链:钓鱼→ModeloRAT→Mistic→倒卖勒索权限
阶段1:社工钓鱼突破终端(入口)
员工访问挂马网站/外部Teams消息,弹出CrashFix浏览器崩溃修复提示,复制预设PowerShell命令粘贴运行;
脚本自动下载便携WinPython(带合法签名),无安全软件拦截。
阶段2:部署主力远控ModeloRAT,搭建持久化通道
-
解压WinPython后运行Python编写的ModeloRAT木马,RC4加密多链路C2,多条服务器故障自动切换;
-
多重持久化手段:伪造AnyDesk/Splashtop注册表Run键、启动文件夹快捷方式、计划任务、VBS启动器;
-
内网全域侦察:调用net、WMIC、PowerShell枚举域用户、服务器、Kerberos票据,抓取全部账号哈希;
-
截屏、窃取浏览器凭证,用curl批量外发企业标书、财务数据。
阶段3:植入Mistic内存后门,长期隐形兜底
ModeloRAT完成内网测绘后,侧载部署Mistic后门:
ModeloRAT负责大规模横向渗透、批量窃取;
Mistic负责超低存在感长期潜伏,就算主RAT被查杀,后门仍留存权限;
双重后门形成冗余通道,保障攻击者随时可回访内网。
阶段4:评估资产,倒卖访问权限给勒索团伙
团伙判断企业存在高价值数据库、客户资料后,将完整内网访问权限打包在暗网出售,勒索组织接手后部署加密程序、大规模泄露数据。
四、团伙配套恶意工具库(运维排查重点)
除两大核心木马外,攻击链大量滥用系统原生LoLBins,同时配套专属恶意组件:
- 系统自带滥用工具
curl、reg.exe、net.exe、PowerShell、certutil、WMIC,全部用于下载载荷、注册表篡改、内网探测;
- 团伙专属恶意组件
Node.exe:篡改Node.js runtime执行恶意JS,联动PowerShell;
Finger.exe:读取混淆载荷;
NexShield:仿uBlock恶意Chrome广告插件,分发CrashFix诱饵;
GateKeeper:多层加密.NET凭证窃取程序;
MintsLoader/D3F@ck Loader:多阶段加载器,分批次投放后门。
五、高风险行业&高危行为自查清单
重点受害行业
保险机构、各级院校、IT科技企业、财税/法律专业服务公司;
企业高危场景
-
员工允许外部Microsoft Teams联系人发起对话;
-
终端仅安装免费杀毒,无EDR内存行为检测;
-
未管控Win+R运行窗口、禁止陌生脚本执行;
-
员工随意访问小众网站、点击浏览器修复弹窗;
-
内网无分段,办公终端可直接访问财务、数据库服务器;
-
允许终端自动下载便携Python、Node运行环境。
六、分层落地防御方案(个人办公+企业运维双版本)
一、全员意识防线(阻断社工钓鱼入口)
-
硬性规定:任何网页、聊天工具要求「复制代码粘贴运行」一律拒绝,官方修复绝不会使用PowerShell脚本;
-
外部Teams、企业微信陌生IT运维消息直接拉黑,线下核实身份再操作;
-
浏览器弹窗出现「崩溃修复、人机验证、文档修复」立即关闭页面,不复制任何内容;
-
外部文件、链接统一提交IT沙箱检测,禁止私自执行。
二、终端安全加固(针对Mistic DLL侧载+无文件攻击)
-
部署具备内存行为、DLL侧载检测的EDR,监控MpExtMs.exe异常加载未签名
EndpointDlp.dll; -
拦截无业务场景下自动下载WinPython、Node.js便携包;
-
审计注册表Run启动项,排查伪装远程工具的可疑键值;
-
监控计划任务、VBS脚本启动项,清理陌生持久化程序;
-
限制PowerShell、curl、certutil外联下载,配置进程白名单;
-
定期检索可疑哈希文件:
EndpointDlp.dll、version.dll、f.dll等IOC样本。
三、网络边界防护
-
防火墙拦截报告内全部恶意域名、IP地址,定期更新IOC黑名单;
-
WAF监测网站异常JS剪贴板注入行为,拦截ClickFix/CrashFix挂马页面;
-
上网行为审计监控终端夜间批量文件外发、异常云上传流量;
-
隔离办公网与数据库、财务服务器,横向访问添加权限校验。
四、终端疑似中毒应急处置步骤
-
立刻断开内外网,禁止重启(内存后门断电丢失取证线索);
-
结束可疑
MpExtMs.exe、无签名Python、Node进程; -
全盘检索恶意DLL,删除
EndpointDlp.dll、相关MSI安装包; -
清理注册表、启动文件夹、计划任务内所有持久化项;
-
域账号、邮箱、OA、财务系统全量修改密码,强制开启MFA二次验证;
-
同网段所有终端批量扫描后门,排查横向扩散痕迹。
七、文末总结
Woodgnat团伙已经形成「社工钓鱼→双重后门驻留→倒卖内网权限→勒索加密」完整黑色产业链,Mistic内存后门的出现大幅降低企业被查杀概率。
传统只查杀磁盘文件的安全防护彻底失效,内存行为监控、DLL侧载检测、全员社工钓鱼培训缺一不可。运维尽快完成终端策略更新,同步IOC黑名单拦截,守住企业数据资产第一道防线。
你们公司是否管控Win+R运行窗口与PowerShell执行权限?遇到过浏览器虚假修复钓鱼弹窗吗?评论区交流防护经验!
加入知识星球,可获取权益
一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《紧急预警|新型Mistic内存后门泛滥!Woodgnat黑产团伙一条龙供货,企业沦陷后直接倒卖给Qilin勒索病毒》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论