Backdoor “Mistic” Terendus dalam Aksi Spionase Broker Akses Ransomware “KongTuke”

Sebuah program jahat (malware) berjenis pintu belakang (backdoor) varian baru bernama Mistic terdeteksi aktif dalam serangkaian kampanye serangan siber bermotif finansial. Serangan ini secara spesifik membidik jaringan komputer milik organisasi skala besar yang bergerak di sektor perasuransian, lembaga pendidikan, penyedia layanan IT, serta sektor jasa profesional.

Para peneliti keamanan siber meyakini bahwa pengembangan dan penyebaran malware Mistic ini didalangi oleh KongTuke (juga dikenal dengan nama sandi Woodgnat). KongTuke merupakan kelompok Initial Access Broker (IAB) kawakan yang aktif setidaknya sejak tahun 2024. Kelompok ini berspesialisasi dalam membobol perimeter pertahanan jaringan korporasi untuk kemudian menjual hak akses ilegal tersebut kepada sindikat ransomware papan atas dunia, seperti Qilin, Interlock, Rhysida, Akira, 8Base, dan Black Basta.

Kronologi dan Modus Operandi Rantai Serangan

Berdasarkan laporan teknis dari divisi intelijen siber Symantec, implan Mistic terdeteksi telah digunakan dalam berbagai aksi intrusi di lapangan sejak April lalu. Dalam salah satu insiden, backdoor ini ditanamkan sesaat setelah sistem korban terinfeksi oleh ModeloRAT—backdoor lain milik KongTuke yang dikirimkan melalui taktik rekayasa sosial (social engineering) via aplikasi Microsoft Teams.

[Image representation of stealthy DLL side loading attack process]

Skenario rantai serangan (attack chain) Mistic dirancang secara matang untuk mengelabui sistem proteksi Endpoint Detection and Response (EDR) melalui metode DLL Side-Loading:

1. Penyalahgunaan File Legal: Penyerang memanfaatkan eksekusi file digital legal milik Microsoft bernama MpExtMs.exe.
2. Penyisipan DLL Palsu: Saat file legal tersebut berjalan, sistem secara otomatis akan memuat file pustaka berbahaya bernama version.dll yang bertindak sebagai pemuat (loader).
3. Eksekusi Mistic: File loader tersebut kemudian mengeksekusi payload utama Mistic yang dikemas dalam nama file EndpointDlp.dll. Pemilihan nama ini sengaja meniru penamaan komponen keamanan Data Loss Prevention (DLP) milik Microsoft agar terlihat tepercaya oleh tim analis keamanan internal perusahaan.
4. Pencurian Kredensial: Bersamaan dengan itu, komponen .NET DLL terpisah akan dimuat untuk memunculkan jendela login palsu (fake login screen) pada layar korban guna memanen nama akun dan kata sandi pengguna secara langsung.

Analisis Fitur: Desain Senyap Tanpa Jejak di Hard Disk

Analisis forensik digital menunjukkan bahwa Mistic dibangun dengan fokus utama pada aspek ketahanan jangka panjang (long-term persistence) dan pergerakan senyap (stealth). Karakteristik utama dari backdoor ini meliputi kemampuan operasional berbasis memori RAM (fileless), di mana seluruh kode perintah dieksekusi secara langsung tanpa menuliskan berkas fisik baru ke dalam piringan hard disk (no file written to disk).

Setelah berhasil memantapkan posisinya di dalam sistem inang, Mistic akan menjalin komunikasi dengan server perintah dan kendali (Command-and-Control / C2) untuk menerima instruksi operasional dari peretas. Fitur-fitur standar yang dimilikinya meliputi kemampuan mengunduh, mengunggah, memindahkan, mengubah nama, serta menghapus file sistem. Malware ini juga dibekali tombol pemutus darurat (kill switch) untuk menghapus seluruh jejak dirinya sendiri secara otomatis saat mendeteksi adanya aktivitas penelusuran oleh tim forensik.

Di sisi lain, laporan terpisah dari perusahaan keamanan cloud Zscaler—yang melacak malware ini dengan nama sandi MTLBackdoor—mengungkapkan salah satu kemampuan paling berbahaya dari implan ini. Mistic/MTLBackdoor tercatat mampu memuat komponen Beacon Object Files (BOFs) untuk memperluas fungsionalitasnya di dalam sistem.

Mengenal Beacon Object Files (BOFs): BOF merupakan program mini berbasis bahasa C yang dapat dieksekusi langsung di dalam ruang memori proses C2 yang sedang berjalan. Karakteristik ini membuat performa serangannya menjadi sangat senyap, tidak meninggalkan jejak artefak forensik pada disk, serta sangat efektif dalam menghindari deteksi otomatis dari agen antivirus modern. Format ini umumnya populer digunakan pada perkakas simulasi peretasan (red team tools) seperti Cobalt Strike selama fase pasca-eksploitasi (post-exploitation).

Pola Penyebaran Melalui Skema ClickFix

Meskipun Symantec tidak merinci metode awal masuknya infeksi, rekam jejak KongTuke sejak awal tahun 2025 dikenal sangat lekat dengan penggunaan teknik penipuan ClickFix beserta varian turunannya seperti FileFix dan CrashFix. Selaras dengan hal tersebut, pemantauan data telemetri Zscaler pada bulan Mei mengonfirmasi bahwa Mistic dikirimkan sebagai payload akhir dalam skema infeksi multi-tahap berbasis ClickFix tersebut.

Guna melancarkan operasi siber mereka yang masif, kelompok broker akses KongTuke terpantau mengombinasikan berbagai macam perkakas legal maupun ilegal di dalam infrastruktur mereka. Kompilasi alat tersebut meliputi penggunaan runtime WinPython dan Node.js legal untuk mengeksekusi skrip jahat, pemanfaatan utilitas bawaan Windows finger.exe untuk mengambil payload terenkripsi dari server luar, penyebaran ekstensi browser palsu NexShield, hingga penggunaan malware pemuat terenkripsi seperti MintsLoader dan D3F@ck Loader.

Munculnya inovasi kode pada Mistic ini semakin menegaskan tren global di mana para aktor kejahatan siber yang berafiliasi dengan jaringan pemerasan ransomware kini semakin gemar merancang dan menggunakan perkakas kustom (custom tools) buatan mandiri, alih-alih hanya bergantung pada malware komersial yang beredar di pasar gelap. Langkah ini sengaja diambil untuk menciptakan elemen kejutan sekaligus mempersulit pembuatan pola deteksi berbasis tanda (signature-based detection) oleh vendor keamanan siber.