Backdoor-ul MystRodX utilizează trigger-uri DNS și ICMP

Specialiștii în domeniul securității cibernetice au dezvăluit un nou backdoor ascuns, numit MystRodX, ce vine cu o serie de funcții pentru a colecta date sensibile din sistemele compromise.

MystRodX este un backdoor tipic implementat în C++, ce suportă funcții precum gestionarea fișierelor, redirecționarea porturilor, reverse shell și gestionarea socket-urilor. În comparație cu backdoor-urile tipice, MystRodX se remarcă prin caracterul său ascuns și prin flexibilitate, au specificat specialiștii în cadrul unui raport.

Caracterul discret al malware-ului provine din utilizarea mai multor niveluri de criptare pentru a ascunde codul sursă și payload-urile, în timp ce flexibilitatea sa îi permite să activeze dinamic diferite funcții pe baza unei configurații, cum ar fi alegerea TCP sau HTTP pentru comunicarea în rețea sau optarea pentru criptarea textului simplu sau AES pentru a securiza traficul de rețea.

MystRodX acceptă, de asemenea, ceea ce se numește modul de alertă, permițându-i astfel să funcționeze ca un backdoor pasiv ce poate fi lansat după primirea de pachete de rețea DNS sau ICMP malițioase din traficul de intrare.

Spre deosebire de backdoor-urile obișnuite, precum SYNful Knock, care manipulează câmpurile antetului TCP pentru a ascunde comenzile, MystRodX utilizează o abordare mai simplă, dar eficientă ascunzând instrucțiunile de activare direct în payload-ul pachetelor ICMP sau în domeniile de interogare DNS, au semnalat specialiștii.

Malware-ul este furnizat prin intermediul unui dropper care utilizează o serie de verificări legate de depanare și mașini virtuale pentru a determina dacă procesul curent este depanat sau dacă este rulat într-un mediu virtualizat. Odată ce etapa de validare este finalizată, payload-ul următoarei etape este decriptat.

Acesta conține trei componente:

• daytime – un launcher responsabil pentru inițierea chargen;
• chargen – componenta backdoor MystRodX;
• busybox.

Configurația sa, criptată folosind algoritmul AES, conține informații referitoare la serverul C2, tipul de backdoor și porturile C2 principale și de rezervă.

Sursă: https://thehackernews.com/2025/09/researchers-warn-of-mystrodx-backdoor.html