文章总结： 安全研究员披露APT41组织最新WinntiELF后门，该样本采用VMProtect全保护、Virustotal零检测，针对Linux服务器设计，包含自定义ELF节区.edm0/.edm1，通过XOR解密发现模仿安全域名的C2地址(ai.qianxing.co等)，体现其隐蔽渗透与反检测能力提升。 综合评分： 75 文章分类： 威胁情报,恶意软件,漏洞分析

威胁情报 | APT41组织最新Winnti ELF后门

Ots安全

2026年4月2日 10:54 广东

威胁简报

恶意软件

漏洞攻击

一、样本概况

安全研究员TuringAlex（@TuringAlex，Xlab_qax团队）近日在公开平台披露了一个全新的Winnti ELF后门样本。该样本SHA256哈希为：f1403192ad7a762c235d670e13b703c3

关键特征如下：

• VirusTotal零检测：截至披露时，主流杀毒引擎均未检出。
• VMProtect全保护：样本采用VMProtect虚拟化加壳，极大提升了逆向分析难度。
• ELF格式：针对Linux环境设计，属于Winnti家族的跨平台变体。

这枚样本的出现，标志着Winnti组织继续深化对Linux服务器的渗透能力，尤其在绕过传统检测机制方面表现出色。

二、技术细节

过对样本的二进制结构分析，我们发现以下显著特征：

1.自定义ELF节区

该ELF文件包含两个非标准节区：.eDM0 和 .eDM1。这些节区被标记为PROG XA类型，与已知Winnti家族样本的特征高度吻合，是识别该组织新型变体的重要指纹。

2.C2域名加密机制

研究人员使用CyberChef工具，以16进制密钥 CB2FA36AAA9541F0（Latin1编码）进行XOR解密操作，成功还原出多个C2域名：

• ai.qianxing.co
• ns1.aliyun.top
• ai.aliyuncs.help

值得注意的是，其中ai.qianxing.co明显模仿了某安全研究团队的域名结构，显示出威胁行为体在针对性情报收集和伪装上的精心设计。

这些C2域名目前已成为重要的IOC（威胁情报指标），建议各单位立即纳入监控清单。

三、组织背景与趋势判断

APT41组织（又称Winnti组织）长期以开发高隐蔽性、跨平台后门闻名。该组织在Windows平台积累了丰富经验后，近年来显著加强了对Linux、macOS等非Windows环境的适配。此次ELF变体的快速迭代，再次验证了其在持久化威胁与反检测技术上的持续投入。

从威胁情报角度看，此类样本通常服务于长期潜伏、数据窃取等目的。VMProtect+自定义节区+XOR加密的组合，体现了当前高级威胁行为体在“低慢小”攻击模式下的典型演进路径。

附IOC（供参考）：

SHA256: f1403192ad7a762c235d670e13b703c3

C2:

ai.qianxing.co

ns1.aliyun.top

ai.aliyuncs.help

XOR密钥:CB2FA36AAA9541F0

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《威胁情报 | APT41组织最新Winnti ELF后门》