Una backdoor Windows finora non documentata sta circolando in reti aziendali dei settori assicurativo, education, IT e servizi professionali, con una caratteristica che sposta il problema oltre il perimetro dei controlli tradizionali: Mistic non scrive file su disco. Il malware, reso noto il 24 giugno 2026 dai team di Symantec e Carbon Black di Broadcom, opera interamente nella memoria dei processi e integra un kill switch che consente agli operatori di eliminarlo su comando.
Il punto tecnico è netto: se un prodotto di sicurezza endpoint cerca soprattutto file sospetti sui dispositivi di archiviazione, Mistic gli sottrae la superficie di rilevamento. La backdoor viene collegata a KongTuke, broker criminale di accessi iniziali che avrebbe fornito ingressi in reti enterprise a gruppi ransomware tra i più attivi, tra cui Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta.
KongTuke non viene descritto come una gang ransomware in senso stretto, ma come un fornitore specializzato: entra negli ambienti aziendali, mantiene il controllo remoto, valuta impronta Active Directory e valore della rete, quindi mette in vendita l’accesso ad affiliati ransomware. Symantec definisce il targeting del gruppo “opportunistic”: la logica non è la selezione chirurgica di pochi bersagli, ma una raccolta ampia di potenziali punti d’ingresso. Le macchine Windows unite a dominio, con accesso ad Active Directory e possibilità di movimento laterale, ricevono il trattamento completo.
Il profilo del rischio è rafforzato dai collegamenti già attribuiti alla catena criminale. Gli strumenti precedenti di KongTuke sono stati associati a campagne ransomware Qilin; lo stesso Qilin ha rivendicato oltre 500 vittime nel 2026. Tra gli episodi citati figura un attacco di febbraio 2026 contro un importante fornitore del National Health Service londinese, con più di 170 casi di danno ai pazienti e almeno un decesso. In questo schema, Mistic appare come un meccanismo più sofisticato per preparare e conservare quei varchi.
La tecnica d’ingresso si basa sul DLL sideloading, un abuso del modo in cui le applicazioni Windows cercano librerie di supporto. L’attaccante colloca una DLL malevola dove un’applicazione legittima si aspetta di trovare un componente valido; quando il programma parte, carica anche il codice dell’attaccante. Nelle intrusioni analizzate, l’infezione comincia con l’esecuzione di MpExtMs.exe, file legittimo e firmato digitalmente appartenente a Microsoft Defender.
Da lì entra in scena un loader chiamato version.dll, che intercetta le funzioni Windows GetModuleFileNameW e LoadLibraryW per mantenere l’apparenza di un processo regolare e forzare il caricamento di una DLL malevola chiamata EndpointDlp.dll. Anche il nome è calibrato per confondersi con strumenti Microsoft di protezione dei dati endpoint. Nei processi Windows, l’attività si presenta come un componente di sicurezza Microsoft firmato: gli strumenti che verificano la firma vedono ciò che l’attaccante vuole far vedere.
Una volta caricata in memoria, Mistic offre capacità classiche di accesso remoto: upload e download di file, cancellazione e rinomina, creazione di cartelle ed esecuzione di codice da remoto. La frequenza di contatto con il server di comando e controllo viene adattata dinamicamente. In almeno una intrusione confermata, accanto alla backdoor è stata distribuita anche una DLL .NET capace di mostrare una falsa schermata di login Windows per raccogliere credenziali utente.
L’evasione non si ferma alla fase di caricamento. Zscaler ThreatLabz, che ha documentato il malware a giugno 2026 con il nome MLTBackdoor, ha indicato che circa il 95% del codice della backdoor è composto da operazioni matematiche inutili, inserite per confondere gli strumenti automatici di analisi. La logica malevola reale resta sepolta in quel rumore, mentre il traffico verso gli operatori passa su TLS alla porta 443, con user-agent Microsoft-Delivery-Optimization/10.1 e percorso /api/v1/telemetry.
La cifratura delle comunicazioni usa uno scambio di chiavi elliptic-curve Diffie-Hellman sulla curva NIST P-256, da cui viene derivata una chiave di sessione AES-256-GCM attraverso SHA-256; ogni pacchetto include inoltre un nonce casuale di 12 byte. Senza le chiavi private rigenerate a ogni sessione, la decifratura a livello di rete non è praticabile. Per le imprese, Mistic segnala una pressione crescente verso controlli basati su comportamento, memoria, identità e traffico, perché il solo file scanning lascia scoperta proprio la fase in cui l’accesso iniziale diventa merce per l’estorsione.