Почему у shuffle privacy есть фазовая диаграмма — и причём тут XLoader
31 марта 2026 года ThreatLabz/Zscaler опубликовали разбор последних версий XLoader. Начиная с версии 8.1, авторы трояна переработали механизм связи с управляющим сервером: в бинарнике зашито 65 C2-адресов. За проход XLoader случайно опрашивает 16 из них; процесс повторяется, пока не будут перебраны все. Реальный C2 различим только после установления соединения и проверки ответа. Дополнительно используются несколько слоёв шифрования и две реализации HTTP-запросов с разными User-Agent’ами.
Для аналитика это задача различения: по наблюдаемому транскрипту — набору соединений и ответов — восстановить скрытую связь «бот → реальный C2». Задача выглядит чисто инженерной. Но за ней стоит математический вопрос: сколько информации о скрытой связи содержит транскрипт, и от чего зависит ответ?
Читать далее