在默认原始TLS模式下，QLNX在禁用证书验证后使用自定义长度前缀二进制协议。四步握手后建立全双工通信，随后形成持久命令循环。

　　对于HTTP/HTTPS，恶意软件使用POST请求发送Base64编码数据，每五秒通过GET请求轮询命令。会话跟踪依赖服务器生成的十六进制ID，通过URL和cookies传递。在联系C2前，它会查询ip-api.com获取地理位置数据，连同源自系统标识符的机器指纹一并包含在初始注册数据包中。

　　注册后，服务器在启用命令执行前发送ACK和确认数据包。若无可用命令，响应保持为空；否则Base64编码的有效负载会被解码，通过处理程序表分发，本地执行后将结果返回C2。

　　持久化子系统包含systemd服务、cron作业、init脚本、XDG自动启动条目和基于LD_PRELOAD的注入等七种机制。所有组件均标记"QLNX_MANAGED"以便追踪。

　　Part04

　　高级攻击能力与P2P网络

　　LD_PRELOAD持久化尤为激进：编译的共享库被注入所有动态链接进程，确保任何程序执行时都能重新感染。即使ls或ps等基本命令，只要preload条目存在就会重新激活恶意软件。

　　QLNX还实现两个在目标系统编译的PAM后门，支持凭证窃取和认证拦截。日志存储在隐藏文件中并可选择外传。

　　报告补充说明："QLNX内置具有内联钩子的PAM后门，可在认证期间拦截明文凭证。它使用硬编码主密码O$f$QtYJK，并通过XOR加密将窃取的凭证存储至/var/log/.ICE-unix。"

　　用户态rootkit通过LD_PRELOAD挂钩libc函数隐藏文件、进程和二进制文件，而可选的eBPF控制器则操纵内核映射表在内核级隐藏进程、文件和端口。