Backdoor.Mistic: Gefährliche Hintertür infiziert Firmennetzwerke seit April

Seit April 2026 treibt eine gefährliche Hintertür-Malware namens Backdoor.Mistic ihr Unwesen in weltweiten Netzwerken. Sicherheitsforscher haben die Schadsoftware einem sogenannten Initial Access Broker (IAB) namens Woodgnat – auch bekannt als KongTuke – zugeordnet. Die Gruppe spezialisiert sich darauf, sich Zugang zu Firmennetzwerken zu verschaffen und diesen dann an andere Erpresserbanden weiterzuverkaufen.

Wie die Angreifer vorgehen

Die Angriffskette beginnt meist mit raffinierter Sozialtechnik. Die Täter nutzen gefälschte Microsoft-Teams-Nachrichten oder kompromittierte WordPress-Seiten, auf denen scheinbar harmlose Warnmeldungen wie „ClickFix", „FileFix" oder „CrashFix" erscheinen. Wer darauf klickt, lädt unbemerkt die Schadsoftware herunter.

Anzeige: Seit April infiziert Backdoor.Mistic Firmennetzwerke – getarnt als harmlose Teams-Nachrichten. Die Schadsoftware nutzt DLL-Sideloading und läuft direkt im Arbeitsspeicher, klassische Scanner erkennen sie nicht. Mit der kostenlosen Risiko-Checkliste prüfen Sie, ob Ihr Netzwerk betroffen ist. Risiko-Checkliste anfordern

Backdoor.Mistic selbst nutzt eine besonders hinterhältige Methode: DLL-Sideloading. Dabei tarnen sich die Angreifer mit legitimen Programmen wie MpExtMs.exe und EndpointDlp.dll. Die eigentliche Schadsoftware läuft direkt im Arbeitsspeicher – klassische Virenscanner haben so kaum eine Chance. Ein eingebauter Notausschalter kann den Prozess bei Verdacht sogar selbstständig beenden.

ModellRAT als Verstärkung

In vielen Fällen kommt Backdoor.Mistic nicht allein. Die Angreifer setzen parallel das ModeloRAT-Toolkit ein – eine Fernzugriffssoftware, die sich dauerhaft im System einnistet. Ihre Kommunikation mit den Steuerservern ist mit RC4-Verschlüsselung gesichert. Um nach einem Neustart nicht verloren zu gehen, verankert sich das Toolkit tief im System: Es manipuliert die Windows-Registry, hinterlegt Dateien im Autostart-Ordner und legt eigene planmäßige Aufgaben an.

Wer ist betroffen?

Die Angriffswellen konzentrieren sich auf bestimmte Branchen. Besonders betroffen sind der Versicherungssektor, Bildungseinrichtungen, professionelle Dienstleister und die IT-Branche. Für deutsche Unternehmen aus diesen Bereichen besteht akute Gefahr – die Tätergruppe Woodgnat gilt als hochprofessionell und zielt gezielt auf lukrative Netzwerke ab.

Ein wachsender Trend

Anzeige: Betrifft Ihr Unternehmen die neue Hintertür Backdoor.Mistic? Die kostenlose Checkliste zeigt Ihnen die fünf häufigsten Einfallstore und einen konkreten Notfallplan für den Verdachtsfall. Checkliste per E-Mail sichern

Backdoor.Mistic ist kein Einzelfall. Die Sicherheitslandschaft wird zunehmend unübersichtlicher:

• Zwischen Dezember 2025 und März 2026 verbreitete sich die FlutterShell-Hintertür über gefälschte Werbung für Produktivitäts-Apps.
• Die China-nahe Gruppe Webworm setzt die Schädlinge EchoCreep und GraphWorm ein und nutzt dabei legitime Plattformen wie Discord und die Microsoft Graph API als Steuerkanäle.
• Nordkoreanische Angreifer haben mit macOS.Gaslight einen Rust-basierten Schädling entwickelt, der Dutzende gefälschte Systemmeldungen erzeugt – eine gezielte Täuschung für Sicherheitsanalysten, die auf KI-gestützte Tools setzen.

Die Entwicklung zeigt: Cyberkriminelle werden immer spezialisierter und setzen auf maßgeschneiderte Werkzeuge für unterschiedliche Betriebssysteme und Zielgruppen. Für Unternehmen heißt das: Wachsamkeit und regelmäßige Sicherheitsupdates sind wichtiger denn je.

de | wissenschaft | 69618691 |