APT - 奇安信 X 实验室

奇安信 X 实验室

APT

A collection of 6 posts

MystRodX: The Covert Dual-Mode Backdoor Threat

Background On June 6, 2025, XLab's Cyber Threat Insight and Analysis System(CTIA) picked up activity from IP 139.84.156.79 distributing a suspicious ELF file—dst86.bin—with a low VirusTotal hit rate of only 4/65. While conventional scanners labeled it as Mirai, our AI module remained

静默之控：主动与被动双模后门MystRodX的隐匿渗透

背景介绍 2025年6月6日，Xlab大网威胁感知系统监测到 IP 139.84.156.79正在传播一个VT低检测 4/65，名为dst86.bin的可疑ELF文件。多引擎检测模块将该文件标识为MIRAI僵尸网络，但AI研判模块却没有给出相应的结果。这个“异常”引起了我们的兴趣，经过分析确认它是Dropper，最终会释放出一个全新的后门木马，和Mirai完全无关，多家杀软将其标记为Mirai是不准确的。基于其传僠中使用的文件名dst，释放样本中的类名cmy_，多种形式的Xor算法，我们将它命名为MystRodX。 MystRodX是一个由c++语言实现的典型后门木马，支持文件管理，端口转发，反弹SHELL，sockets管理等功能。相较于一般的后门，MystRodX在隐匿性，灵活性俩方面具有非常鲜明的特点。其中隐匿性体现在对于不同级别敏感信息采用了差异化加密策略： 1. 虚拟机&调试器检测等相关敏感字符串使用单字节xor加密 2. AES密钥，Payload，激活报文使用自定义的Transform算法加密 3. 配置文件使用AES CBC模式加密而灵活性则是M

Glutton: A New Zero-Detection PHP Backdoor from Winnti Targets Cybercrimals

Introduction On April 29, 2024, XLab's Cyber Threat Insight and Analysis System(CTIA) detected anomalous activity: IP 172.247.127.210 was distributing an ELF-based Winnti backdoor. Further investigation revealed the same IP had, on December 20, 2023, distributed a zero-detection malicious PHP file, init_task.txt, providing a key

黑白通吃：Glutton木马潜伏主流PHP框架，隐秘侵袭长达1年

简介 2024年4月29日，XLab 大网威胁感知系统捕获一起异常活动：IP 172.247.127.210 正在传播 ELF 版本的 winnti 后门木马。APT 相关告警的出现迅速引起了我们的注意。进一步溯源发现，该 IP 曾于2023年12月20日传播一个VirusTotal 0检测的恶意PHP文件init_task.txt ，这一线索为我们后续的调查提供了重要切入点。以 init_task 为线索，我们进一步发现了一系列关联的恶意 PHP payload，包括 task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell 等。这些 payload 的设计灵活，既可以单独运行，

New Zero-Detection Variant of Melofee Backdoor from Winnti Strikes RHEL 7.9

Background On July 27, 2024, XLab's Cyber Threat Insight and Analysis System(CTIA) detected an ELF file named pskt from IP address 45.92.156.166. Currently undetected on VirusTotal, the file triggered two alerts: an Overlay section and a communication domain mimicking Microsoft. Our analysis identified it as a

0检测的Melofee 木马新变种曝光，专攻RHEL 7.9系统

简介 2024年7月27日，XLab的大网威胁感知系统检测到 IP 地址 45.92.156.166 正在传播一个名为pskt的ELF 文件，它在 VirusTotal 上尚无检测。该样本触发了两条告警：文件存在 Overlay 区段，且通信域名疑似模仿微软。经过分析，我们确认这是一个专门针对 Red Hat Enterprise Linux (RHEL) 7.9 的 Melofee 后门木马变种。 Melofee 是一个用 C++ 编写的后门木马，支持信息收集、进程管理、文件操作和 SHELL 等功能，最早于 2023 年 3 月被 ExaTrack 披露，据信隶属于 APT 组织