QLNX是设计精良的Linux恶意软件，完全在内存中运行避免磁盘留痕。执行后，它会使用memfd_create将自身复制到RAM支持的文件中，删除原始二进制文件，并通过execveat或/proc/self/fd/直接从内存重新启动。它使用_MFD_RE环境变量防止无限重新执行循环。

　　随后恶意软件会分析受感染系统，检查权限、内核版本、SELinux状态、容器化情况、GCC可用性、X11访问权限及进程注入或键盘记录支持情况，根据结果选择性启用功能。

　　为规避检测，QLNX伪装成[kworker/0:0]等合法内核线程，并重写ps、top和/proc中可见的进程元数据。它还清除取证环境变量，并通过在/tmp创建虚假X11锁定文件防止多实例运行。

　　Part03

　　命令控制与持久化机制

　　建立连接后，QLNX初始化58个命令处理器，通过自定义TLS协议、HTTPS或HTTP连接C2服务器。其发送的信标包含系统详情、权限级别、地理位置、机器指纹、主机名和网络数据。该恶意软件支持包括shell访问、文件管理、持久化、凭证窃取、SSH横向移动、屏幕截图、键盘记录、rootkit、SOCKS代理、端口转发、日志清除、PAM凭证钩子、eBPF隐藏和内存中BOF执行等丰富的入侵后功能。

　　QLNX支持原始TCP、HTTPS和HTTP三种通信通道，均采用相同二进制命令协议。TCP和HTTPS受TLS保护，而HTTP在分析或回退场景下使用明文传输。

　　每个会话以4字节魔数**"QLNX"(0x51 4C 4E 58)**开始，用于标识和初始化协议。在TCP/TLS模式下，它嵌入在初始检入数据包中；在HTTPS/HTTP中，它作为独立负载发送或编码在请求中。此后服务器会响应会话状态数据（如cookies或ID）。