背景介绍 2025年6月6日，Xlab大网威胁感知系统监测到 IP 139.84.156.79正在传播一个VT低检测 4/65，名为dst86.bin的可疑ELF文件。多引擎检测模块将该文件标识为MIRAI僵尸网络，但AI研判模块却没有给出相应的结果。这个“异常”引起了我们的兴趣，经过分析确认它是Dropper，最终会释放出一个全新的后门木马，和Mirai完全无关，多家杀软将其标记为Mirai是不准确的。基于其传僠中使用的文件名dst，释放样本中的类名cmy_，多种形式的Xor算法，我们将它命名为MystRodX。 MystRodX是一个由c++语言实现的典型后门木马，支持文件管理，端口转发，反弹SHELL，sockets管理等功能。相较于一般的后门，MystRodX在隐匿性，灵活性俩方面具有非常鲜明的特点。其中隐匿性体现在对于不同级别敏感信息采用了差异化加密策略： 1. 虚拟机&调试器检测等相关敏感字符串使用单字节xor加密 2. AES密钥，Payload，激活报文使用自定义的Transform算法加密 3. 配置文件使用AES CBC模式加密 而灵活性则是M