网络安全研究人员披露了一个名为 MystRodX 的隐秘新后门，它具有多种功能，可以从受感染的系统中捕获敏感数据。

“MystRodX 是典型的后门，用 C++ 实现，支持文件管理、端口转发、反向 shell 和套接字管理等功能，”奇安信 XLab 在上周发布的一份报告中表示。“与典型的后门相比，MystRodX 在隐蔽性和灵活性方面脱颖而出。”

MystRodX，也称为 ChronosRAT，上个月由 Palo Alto Networks Unit 42 首次记录，与一个名为 CL-STA-0969 的威胁活动集群有关，该集群表示该集群与名为 Liminal Panda 的中国联系网络间谍组织有重叠。

该恶意软件的隐蔽性源于使用不同级别的加密来掩盖源代码和有效负载，而其灵活性使其能够根据配置动态启用不同的功能，例如选择 TCP 或 HTTP 进行网络通信，或选择明文或 AES 加密来保护网络流量。

MystRodX 还支持所谓的唤醒模式，从而使其能够充当被动后门，可以在从传入流量接收到特制的 DNS 或 ICMP 网络数据包后触发。有证据表明，根据配置中设置的激活时间戳，该恶意软件可能至少从 2024 年 1 月就已经存在。

XLab 研究人员表示：“魔法值得到验证，MystRodX 使用指定的协议与 C2 [命令和控制] 建立通信，并等待进一步的命令。“与 SYNful Knock 等众所周知的隐形后门不同，它纵 TCP 标头字段来隐藏命令，MystRodX 使用一种更简单但有效的方法：它将激活指令直接隐藏在 ICMP 数据包的有效负载或 DNS 查询域中。”

该恶意软件通过植入器传播，该植入器利用大量调试器和虚拟机相关检查来确定当前进程是否正在调试或正在虚拟化环境中运行。验证步骤完成后，下一阶段的有效负载将被解密。它包含三个组件 –

• daytime，负责发射chargen
• chargen、MystRodX 后门组件和
• 忙箱

MystRodX 一旦执行，就会持续监控日间进程，如果未发现它正在运行，则立即启动它。它的配置使用 AES 算法进行加密，包含与 C2 服务器、后门类型以及主和备用 C2 端口相关的信息。

“当后门类型设置为 1 时，MystRodX 进入被动后门模式并等待激活消息，”XLab 说。“当后门类型的值不是 1 时，MystRodX 进入主动后门模式并与配置中指定的 C2 建立通信，等待执行收到的命令。”