文章总结： 安全研究人员发现名为QuasarLinuxRAT(qlnx)的新型Linux无文件远控木马，主要针对开发者与DevOps环境。该恶意软件具备远程控制、凭证窃取、键盘记录、文件操控、网络隧道等功能，通过内存运行、eBPF技术隐藏、伪装内核线程等方式规避检测，并利用多种持久化机制长期驻留。其搭载PAM后门与LD_PRELOAD内核木马，可窃取SSH密钥、浏览器数据等敏感信息，存在严重供应链攻击风险。 综合评分： 87 文章分类： 恶意软件,威胁情报,Linux安全,应急响应,供应链安全

Quasar Linux RAT (QLNX)：一款为隐蔽潜伏与持久驻留而打造的无文件型 Linux 远控木马

鹏鹏同学 鹏鹏同学

黑猫安全

2026年5月11日 08:48 湖北

在小说阅读器读本章

去阅读

安全研究人员发现了一款此前从未被公开披露的 Linux 恶意软件，命名为Quasar Linux RAT（QLNX），主要针对开发者与 DevOps 运维环境。该恶意程序能够窃取账号凭证、记录键盘击键、操控文件、监控剪贴板操作，并可搭建网络隧道实现远程控制。专家警告，该恶意软件专门瞄准软件开发流程所用系统，存在严重的供应链攻击风险。

趋势科技发布的报告指出：“Quasar Linux RAT（QLNX）是一款功能完备的 Linux 植入木马，集成远程控制能力，同时具备高级规避查杀、持久化驻留、键盘记录、凭证窃取等多项功能。该恶意程序将 PAM 后门与 LD_PRELOAD 内核木马的 C 语言源码，以字符串字面量形式内嵌在程序二进制文件中。”“它可在目标主机上借助 GCC 动态编译内核木马共享库与 PAM 后门模块，并通过 /etc/ld.so.preload 完成部署，实现全系统层面的流量与行为劫持。”

QLNX 是一款功能强大的 Linux 远程访问木马，可直接在内存中运行以规避查杀检测，利用eBPF技术隐藏自身行为、清除系统日志，还能检测自身是否运行在容器环境中。该木马会大规模采集各类敏感信息，包括系统详情、剪贴板内容、命令行历史、SSH 密钥、火狐浏览器配置文件，并通过恶意 PAM 模块窃取各类账号凭证。

QLNX 通过加密通道与攻击者通信，支持丰富的控制指令，包括远程终端接入、文件管理、代码注入、屏幕截屏、键盘记录、SOCKS 代理、网络隧道等功能。该恶意软件内置多种持久化驻留机制，可在系统重启后存活，长期控制已沦陷的 Linux 主机。

QLNX 是一款架构精密的 Linux 恶意软件，全程可在内存中运行，不在磁盘留下任何痕迹。执行后，它通过 memfd_create 将自身拷贝至内存文件系统，删除原始二进制程序，并通过 execveat 或备用路径 /proc/self/fd/<memfd> 直接从内存重启运行。同时利用环境变量 _MFD_RE 防止自身无限循环重启。

随后恶意软件会对沦陷主机进行环境画像检测，校验权限级别、内核版本、SELinux 状态、容器环境、GCC 是否安装、X11 图形服务可用性，以及进程注入、键盘记录的支持情况，并根据检测结果按需启用对应恶意功能。

为规避安全检测，QLNX 会伪装成合法内核线程（如 [kworker/0:0]），篡改 ps、top 及 /proc 下可见的进程元数据；同时清理取证相关环境变量，并在 /tmp 下创建虚假 X11 锁定文件，防止自身多进程重复运行。

完成环境部署后，QLNX 初始化 58 个指令处理函数，基于自研 TLS 协议、HTTPS 或 HTTP 协议连接 C2 服务器。恶意程序会向服务端发送心跳 Beacon，上报系统信息、权限等级、地理位置、设备指纹、主机名及网络配置数据。其沦陷后后置功能十分完备：终端交互、文件管控、持久化驻留、凭证窃取、SSH 横向移动、截屏、键盘记录、内核木马、SOCKS 代理、端口转发、日志清除、PAM 凭证挂钩、eBPF 进程隐藏、内存 BOF 载荷执行均全覆盖支持。

QLNX 支持原生 TCP、HTTPS、HTTP 三种通信通道，统一采用二进制指令协议。TCP 与 HTTPS 均启用 TLS 加密防护，HTTP 多用于安全分析环境或异常降级兜底场景，以明文传输数据。

每次通信会话均以 4 字节魔术字 QLNX（十六进制 0x51 4C 4E 58）作为协议标识与初始化标记。TCP/TLS 模式下嵌入首次握手数据包；HTTPS/HTTP 模式下可作为独立载荷发送，或编码嵌入网络请求中。标识校验通过后，C2 服务器返回会话状态数据（会话 Cookie、唯一会话 ID 等）。

默认原生 TLS 模式下，QLNX 关闭证书校验，采用自定义长度前缀二进制协议通信。双方完成四步握手后建立双向持久指令交互循环。

HTTP/HTTPS 通信模式中，恶意软件通过 POST 请求 发送 Base64 编码数据，每 5 秒通过 GET 请求 轮询拉取控制指令。会话依靠服务端生成的十六进制 ID，通过 URL 参数与 Cookie 维系。连接 C2 前，程序会访问 ip-api.com 获取地理位置信息，连同基于系统特征生成的设备指纹，一并写入首次注册数据包上报。

注册完成后，服务器回复确认应答包，随后开启指令下发与执行通道。若无新指令则返回空响应；若有指令，服务端下发 Base64 编码载荷，恶意软件解码后通过指令处理表调度执行，最终将运行结果回传 C2 服务器。

持久化模块内置七种驻留机制，涵盖 systemd 服务、定时任务 cron、初始化脚本、XDG 自启动项、LD_PRELOAD 注入 等方式，所有驻留痕迹均标记 QLNX_MANAGED 便于恶意程序自身管理识别。

其中 LD_PRELOAD 持久化手段攻击性极强：编译后的共享库会注入所有动态链接进程，确保任意程序运行时都会触发恶意软件复活。只要预加载配置条目未清除，哪怕执行 ls、ps 等基础系统命令，都能重新拉起木马。

QLNX 还内置两套可在目标主机本地编译的 PAM 后门，实现账号凭证采集与认证流程劫持，窃取的日志会存入隐藏文件，也可按需外传。

报告补充说明：QLNX 搭载带内联钩子的 PAM 后门，可在用户认证过程中截获明文账号密码。程序内置硬编码主密码 O$$f$QtYJK，并通过异或加密方式将窃取的凭证存放至 /var/log/.ICE-unix 隐藏目录。

用户态内核木马通过 LD_PRELOAD 挂钩 libc 标准库函数，实现文件、进程、二进制程序隐藏；可选 eBPF 控制组件则操纵内核映射表，从内核层级隐藏进程、文件与监听端口。

最后，其凭证窃取模块可批量提取 SSH 密钥、浏览器数据、云服务令牌、开发者账号、系统机密配置及剪贴板内容，实现对开发环境与云业务环境的全面沦陷。

QLNX 具备点对点（P2P）网状组网能力，可将多台沦陷主机互相连通，形成分布式恶意网络架构。即便部分 C2 指挥基础设施被切断，木马仍能维持通信与协同控制，极大提升了存活韧性，也给环境彻底清除溯源带来极大难度。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《Quasar Linux RAT (QLNX)：一款为隐蔽潜伏与持久驻留而打造的无文件型 Linux 远控木马》