这种细致的规避策略确保了 kkRAT 在自动引爆期间很少触发警报。

在接下来的阶段中，kkRAT 部署了先进的反分析技术，通过单字节 XOR 混淆动态解析 Windows API 函数，并使用简单的 XOR 转换解密后续的 shellcode。

在第二阶段，恶意软件卸载并禁用网络适配器以切断 AV/EDR 通信，枚举与中国安全供应商相关的进程，并使用易受攻击的驱动程序（RTCore64.sys）从内核模式防御中删除已注册的回调。

Zscaler 分析师指出，kkRAT 甚至会修改 360 Total Security 的注册表值以禁用网络检查，并在 SYSTEM 权限下安排任务，以便在用户登录时反复终止保护进程。

到了第三阶段，kkRAT 从硬编码的 URL 中检索名为 的高度混淆的 shellcode 2025.bin，解码中的 Base64 编码指令output.log，并根据受害者进程的文件名选择下载 URL。

提取的档案包含合法的可执行文件，其中侧载了恶意 DLL，这些 DLL 使用偏移量处的六字节 XOR 密钥解密最终的有效载荷 – kkRAT 本身0xD3000。

Zscaler 的研究人员发现这种无缝使用侧载的方式可以部署多种 RAT 变种，包括 ValleyRAT 和 FatalRAT，但新发现的 kkRAT 融合了Ghost RAT和 Big Bad Wolf 的功能。

在运行过程中，kkRAT 与其命令和控制服务器建立 TCP 连接，通过 zlib 压缩数据，并应用额外的基于 XOR 的加密层。

用于解密捕获流量的 Python 示例代码片段演示了此两阶段过程：

import zlib
def decrypt_packet(data, key):
    compressed = bytes(b ^ key for b in data)
    return zlib.decompress(compressed)

感染机制

在执行侧载 DLL 时，kkRAT 会读取其加密配置（C2 IP、端口、版本和组标识符），并构建一个REGISTRATIONINFO包含详细设备指纹的结构，例如操作系统版本、CPU 频率、内存大小、已安装的防病毒签名以及消息传递应用程序的存在。

这种详尽的配置文件使攻击者能够优先攻击高价值目标。kkRAT 的独特之处在于，它会检查剪贴板中的加密货币钱包地址（比特币、以太坊、泰达币），并通过命令将其替换为攻击者控制的地址0x4D，这是一种旨在悄无声息地劫持交易的策略。