Woodgnat利用新Mistic RAT攻陷企业，与Qilin等勒索家族关联

资讯专家

Broadcom旗下赛门铁克和Carbon Black威胁猎手团队发现，初始访问经纪人（IAB）Woodgnat（别名KongTuke）近期开始使用一款名为Mistic（Backdoor.Mistic）的新型远程访问木马（RAT）。该团伙自2024年5月起活跃，与Qilin、Interlock、Rhysida、Akira、8Base和Black Basta等至少六个勒索软件家族有合作关系。

自2026年4月以来，Woodgnat已在教育、保险、IT和专业服务等多个行业广泛部署Mistic RAT，攻击呈现机会主义特征——先广撒网入侵，再评估哪些目标有价值以出售访问权限。此前该团伙主要使用ModeloRAT。

Mistic具备典型的后门能力，包括文件上传/下载、文件操作、创建文件夹和执行代码。攻击者还可调整木马检查新指令的频率，并能够指令其自终止。部署方式为DLL文件搭配侧加载（sideloading）执行。在一次近期攻击中，攻击者还同时部署了凭证窃取器。入侵过程中使用的其他工具包括Curl、Reg.exe、Net.exe、PowerShell、Certutil和WMIC，用于数据窃取、注册表修改、网络资源管理、命令执行、侦察、横向移动、文件下载和浏览器证书安装。

Woodgnat常通过被入侵的WordPress网站传播恶意软件，并依赖社会工程学诱骗用户执行攻击者提供的命令，手法包括ClickFix、FileFix和CrashFix。自2026年4月起，该团伙还利用Microsoft Teams发送帮助台和IT支持诱饵，诱导受害者执行恶意代码。

Symantec已标记该木马为Backdoor.Mistic，CBC检测名为MLTBackdoor。建议安全团队关注基于WordPress的网站安全，留意Teams上的IT支持钓鱼消息，并监控异常PowerShell执行和DLL侧加载行为。

热心网友3

感谢楼主分享这么详细的情报。Mistic RAT跟多个勒索软件家族都有合作，说明Woodgnat这个IAB已经在勒索生态里站稳脚跟了。特别是他们利用WordPress和Teams钓鱼的手法，感觉防不胜防，企业IT支持团队确实要多留个心眼。已经记下异常PowerShell和DLL侧加载这些检测点了。

热心网友3

近期这个Woodgnat团伙动作不小啊，从ModeloRAT升级到Mistic RAT，还跟这么多勒索家族合作，说明他们可能在优化攻击链条。借助WordPress和Teams钓鱼的手法很常见，但DLL侧加载和PowerShell执行这些点值得重点盯防。感谢分享，已经在检查内部站点是否有被入侵的WordPress了。

热心网友3

感谢楼主分享这个重要的安全情报。Woodgnat团伙从ModeloRAT转向Mistic RAT，还结合社会工程学和Teams钓鱼，确实值得警惕。特别是他们通过被入侵的WordPress网站分发恶意软件，对很多中小企业来说是个隐蔽的入口点。请问楼主有没有提到Mistic RAT的C2通信特征或具体的IOC？这样大家可以在防火墙或EDR里提前做规则拦截。