Nový „backdoor“ se maskuje za bezpečnostní nástroje Microsoftu. Nevidíte ho a hackeři přes něj kradou přístup

Symantec odhalil škodlivý kód, který se schovává za legitimní součásti Windows Defenderu a běží v paměti bez stopy na disku.

Zdroj fotografie: Public Domain / Creative Commons / CC BY-SA

Koncem června 2026 zveřejnil tým Symantec Threat Hunter analýzu nového backdooru pojmenovaného Mistic. Aktivní je nejméně od dubna letošního roku a jeho autoři, finančně motivovaná skupina Woodgnat, známá také jako KongTuke, ho navrhli s jedním cílem: dostat se do firemní sítě, zabydlet se v ní a ten přístup prodat dál. Nejčastěji ransomwarovým gangům, které už mají vlastní šifrovací nástroje a potřebují jen otevřené dveře. Mistic je přesně takové dveře. A vypadají jako součást firemní obrany.

Co je backdoor a proč zrovna „Mistic“

Backdoor je v kybernetické bezpečnosti skrytý vzdálený vstup do počítače nebo celé sítě. Útočník přes něj může nahrávat a stahovat soubory, mazat je, přesouvat, vytvářet složky, měnit frekvenci komunikace s řídicím serverem, spouštět libovolný kód přímo v paměti, a když je potřeba zmizet, aktivovat kill switch, který backdoor smaže sám sebe.

Mistic tohle všechno umí. Symantec mu přisuzuje plný vzdálený přístup typu RAT a Zscaler, který zřejmě stejnou rodinu sleduje pod názvem MLTBackdoor, k tomu přidává BOF loader pro spouštění modulů, generátor záložních řídicích domén (DGA) a silnou obfuskaci síťového provozu. Nejde o jednorázový skript. Je to modulární nástroj stavěný na dlouhodobý provoz.

Jak se maskuje za Microsoft

Mistic se maskuje za bezpečnostní nástroje Microsoftu, a není to metafora. Útočníci zneužívají dva konkrétní prvky:

• Legitimní binárku mpextms.exe – soubor, který Microsoft skutečně distribuuje v rámci Windows Defenderu v cestě C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.*\. Jde o podepsaný, důvěryhodný proces.
• Falešnou knihovnu EndpointDlp.dll – název, který odpovídá reálné DLL pro Microsoft Endpoint DLP, jak potvrzuje dokumentace na Microsoft Learn. Útočníci ji podstrčí do umístění, kde ji legitimní proces automaticky načte.

Technika se jmenuje DLL sideloading. Když aplikace ve Windows hledá knihovnu, prochází definované pořadí složek. Pokud útočník ovládne správné umístění, podepsaný proces načte škodlivou DLL místo té pravé. Výsledek: na stanici běží důvěryhodný Microsoft proces, bezpečnostní software ho nezpochybní, a uvnitř se tiše spouští Mistic.

Proč ho nevidíte

Klíčové payloady Mistic spouští přímo v paměti, bez zápisu na disk. Pro klasický souborový sken antivirem to znamená, že nemá co najít. Kill switch navíc umožňuje celý backdoor smazat na povel, takže i forenzní analýza po incidentu naráží na minimum stop.

Microsoft sám v blogu o reflexivním DLL loadingu popisuje, že útoky bez zápisu na disk vyžadují behaviorální a paměťovou detekci; prostý sken souborů nestačí. Nejde tedy automaticky o selhání Microsoftu. Jde o techniku, která cíleně obchází jeden z nejrozšířenějších detekčních přístupů.

Zscaler k tomu přidává šifrovaný vlastní síťový protokol a DGA fallback: pokud hlavní řídicí server padne, malware si vygeneruje záložní doménu. Kombinace legitimního hostitelského procesu, paměťového běhu, obfuskace a samosmazání dělá z Misticu jednu z hůře odhalitelných hrozeb letošního roku.

Kdo za tím stojí a co přesně kradou

Skupina Woodgnat je aktivní nejméně od května 2024. Symantec ji řadí mezi takzvané initial access brokery, specializované skupiny, které nevydírají oběti samy, ale budují trvalé přístupy do firemních sítí a ty pak za poplatek prodávají ransomwarovým operátorům.

V praxi to vypadá takto: útočník přiměje zaměstnance ke spuštění PowerShell příkazu, buď přes kompromitovaný WordPress web s falešnou chybovou hláškou (techniky ClickFix, FileFix, nově CrashFix, která simuluje pád prohlížeče), nebo přes externí Teams konverzaci, kde se vydává za firemní IT podporu. Jakmile oběť příkaz spustí, stáhne se archiv s endpointdlp.dll a dalšími komponentami, spustí se sideloadingový řetězec a Mistic se zabydlí.

Pak přichází průzkum: net.exe pro výpis doménových uživatelů a skupin, WMIC pro inventuru stanic, PowerShell pro sběr dat. Rapid7 popsal případ, kdy se z jediné Teams zprávy stal během hodin plný kompromis domény. Součástí útoku bývá i credential stealer s falešnou přihlašovací obrazovkou, lock screen, který vypadá jako Windows, ale heslo posílá útočníkovi.

Nekradou tedy data v tradičním smyslu. Kradou přístup ke koncovým stanicím, doménovým účtům, Active Directory, sdíleným zdrojům. A ten přístup má na černém trhu konkrétní cenu.

Na co si dát pozor: praktické stopy pro IT týmy

Symantec i Zscaler zveřejnili konkrétní indikátory kompromitace. Pro bezpečnostní týmy je důležitější hledat řetězec chování než jednotlivý soubor:

• mpextms.exe spuštěný mimo standardní instalační cestu Defenderu
• Příkaz rundll32 endpointdlp.dll,#1 nebo #2
• Procesní řetězce typu powershell.exe ← mpextms.exe ← msiexec.exe
• Síťový provoz na domény jako carrolc.com, cwrtwright.com, thomphon.com, authorized-logins.net
• Přítomnost pythonw.exe / WinPython v AppData, node.exe jako script host
• Run-key persistence maskovaná pod názvy AnyDesk, Splashtop nebo Comms
• Neočekávané použití curl, net1, wmic z uživatelského kontextu

Veřejně potvrzené české oběti zatím nejsou. Symantec ale uvádí cílení napříč geografií i sektory; zasaženy byly firmy v pojišťovnictví, financích, vzdělávání, IT i profesionálních službách. Podle výroční zprávy NÚKIB zůstávají ransomware a sociální inženýrství stabilní hrozbou i pro české organizace. Firma, která má otevřenou externí Teams komunikaci, zaměstnance s oprávněním spouštět PowerShell a slabší monitoring AppData, sedí přesně v cílovém profilu.

Nejnebezpečnější na Misticu není technická sofistikovanost jednoho backdooru. Je to obchodní model za ním: rutinní sociální manipulace se mění na prodejný přístup do firemní sítě a ransomwarový útok pak může přijít od úplně jiné skupiny, která si dveře jen koupila.