MystRodX, ele geçirilen sistemlerden hassas verileri sızdırmak üzere tasarlanmış, C++ ile geliştirilmiş çok yönlü bir arka kapıdır. QiAnXin XLab tarafından yayımlanan rapora göre, dosya yönetimi, port yönlendirme, ters kabuk ve soket yönetimi gibi işlevleri destekleyen bu zararlı, gizlilik ve esneklik açısından geleneksel arka kapılardan ayrışıyor.
ChronosRAT ve Liminal Panda Bağlantısı
MystRodX, Palo Alto Networks Unit 42 tarafından Çin bağlantılı Liminal Panda grubuyla ilişkilendirilen CL-STA-0969 tehdit kümesi kapsamında ChronosRAT olarak da tanımlanmıştır. Zararlının kaynak kodu ve yükleri çok katmanlı şifreleme ile korunmakta, yapılandırmaya göre TCP veya HTTP protokolleri ve düz metin ya da AES şifrelemesi tercih edilebilmektedir.
Pasif Arka Kapı ve Tetikleyiciler
Öne çıkan özelliklerinden biri, özel hazırlanmış DNS ve ICMP paketleriyle tetiklenebilen pasif bir arka kapı modunun bulunmasıdır. Bu modda, belirli bir zaman damgası ve sihirli değer doğrulaması sonrası zararlı, C2 sunucusuyla iletişim kurar ve komutları bekler. Bu yaklaşım, SYNful Knock gibi TCP başlıklarını manipüle eden yöntemlere kıyasla daha basit ancak etkili bir gizlilik sağlar.
Yükleme ve Çalışma Mekanizması
Zararlı, hata ayıklayıcı ve sanal makine kontrolü yapan bir dropper ile teslim edilir. Doğrulama sonrası üç bileşenli bir yük açılır: daytime (başlatıcı), chargen (arka kapı bileşeni) ve BusyBox (Unix yardımcı yazılımı). MystRodX, daytime işlemini sürekli izleyerek çalışmadığında yeniden başlatır. AES ile şifrelenmiş yapılandırma, C2 sunucusu ve port bilgilerini içerir. Aktif modda C2 ile sürekli iletişim sağlanırken, pasif modda tetikleyici mesaj beklenir.