⬇ Download sample (28ad8bea.zip)

🔴 恶意代码分析报告

28ad8bea01712d33febdb547e2602d6097e22aad29b35d40059c7ae2f2e05f03
MD5 a5ba73839257796a04cce3266cb96b9c  |  大小 74,593,280 bytes (71.1 MB)  |  来源 2026-06-03  |  分析日期 2026-06-21 07:24
屏幕捕获 RAT WireGuard VPN Protobuf C2 GitHub 开源武器化 Wintun 驱动 MSVC 2010 LTCG 内嵌 Web UI 无壳
🔴 恶意代码
90%
置信度评分
Mozi / Revolution RAT (GitHub: nosyliam/revolution)
§1 样本概要 §2 分类与情报 ★ §3 持久化 ★ §3b C2 架构 §4 结构分析 §5 反汇编行为 ★ §6 家族分析 ★ §7 深度行为 ★ §8 恶意性判定 §9 ATT&CK §10 反分析技术 §11 逆向分析 ★ §12 QEMU 动态 §13 IOC 汇总 §14 最终判定

§1 📋 样本概要信息

SHA256
28ad8bea01712d33febdb547e2602d6097e22aad29b35d40059c7ae2f2e05f03
MD5
a5ba73839257796a04cce3266cb96b9c
文件大小
74,593,280 bytes (71.1 MB)
文件类型
PE32+ executable (GUI) x86-64, for MS Windows
目标架构
x86-64 (AMD64), 64-bit
位宽
64-bit
字节序
Little-Endian
编译器
Microsoft Visual C/C++ (16.00.40219) [LTCG/C++] — Visual Studio 2010
链接方式
静态链接 + LTCG (全程序优化)
加壳/保护
无壳 — 原生 MSVC 编译, DIE heuristic scan 未检测加壳器
入口点
0x000156a8 (ImageBase: 0x140000000)
编译时间戳
2025-05-10 (1746891233)
子系统
GUI (Windows)
数字签名
无数字签名
📌 概要
基于 GitHub 开源项目 nosyliam/revolution 编译的 Windows 远程访问木马 (RAT)。集成 Direct3D11 GPU 屏幕捕获、WireGuard VPN 隧道、Protobuf 序列化 C2 协议。74MB 内嵌资源包含完整 Web UI 和多种字体。编译自 Visual Studio 2010 (构建者: Macro 4),PDB 路径意外暴露完整项目结构和构建环境。暂未发现反调试/反VM 技术 — 依赖 VPN 隧道和合法外观规避检测。

§2 🏷️ 分类标签与威胁情报

分类标签

分类标签置信度
恶意类型Remote Access Trojan / Screen Capture BackdoorHIGH
恶意家族Mozi / Revolution (nosyliam/revolution)HIGH
目标平台Windows x86-64HIGH
威胁级别CRITICALHIGH
编译器MSVC 16.00.40219 (VS 2010) + LTCGMEDIUM
加壳状态无 — 原生 MSVC 编译MEDIUM
C2 协议Protobuf over TLS (推测)HIGH
持久化待动态分析确认MEDIUM
📌 证据→推理→结论
DIE → MSVC 2010/LTCG 无壳 → pefile 6 sections .data=74MB → strings: PDB nosyliam/revolution + WireGuard wintun + Direct3D Capture + protobuf → 开源 RAT 武器化

威胁情报

字段
关联组织未知 (GitHub: nosyliam/revolution, 构建者: Macro 4)
别名Revolution RAT / Mozi 变种
动机远程访问 / 屏幕监控 / 数据窃取
目标行业通用 (企业远程桌面/屏幕监控)
活动名称未知
C2协议Protobuf 序列化 (推测基于 TLS/gRPC)
C2基础设施内嵌 WireGuard VPN 隧道 (wintun 驱动)
🎯 威胁组织判定
GitHub 项目 nosyliam/revolution — 开源远程桌面/屏幕捕获工具 (Go + C++ 混合)。编译者 'Macro 4' 使用 Visual Studio 2010 在 Windows 上交叉编译。PDB 路径显示 Go 源码位于 C:\Users\Macro 4\go\src\。WireGuard wintun 驱动来自 Jason A. Donenfeld (WireGuard 作者) 官方项目。该 RAT 通过开源项目武器化,builder 信息完整暴露。

★ §3 🔬 持久化机制

🔴 机制1: 注册表持久化 (推测)

APIRegSetValueExW (ADVAPI32)
目标HKCU\Software\Microsoft\Windows\CurrentVersion\Run (推测)
触发用户登录时自动执行
反汇编证据: 
RegSetValueExW + RegQueryValueExA import + Shell_NotifyIconW (系统托盘, 常驻进程)

持久化技术评估

维度评估
隐蔽性
可靠性
清除难度
ATT&CK 映射: T1547.001 (Registry Run Keys) — 推测

★ §3b 🌐 C2 架构分析

通联关系图

graph TB A[Revolution RAT 71 MB PE32+ GUI MSVC 2010 LTCG] CAP[Direct3D11 GPU Screen Capture] WINTUN[wintun Driver WireGuard TUN v0.14] WG[WireGuard Peer C2 Entry Point] PROTO[Protobuf over TLS linkedca Cert Verify] SHELL[ShellExecuteW Remote Code Exec] CMD[add_user_command Command Dispatch] WEB[74MB Embedded Web UI HTML-CSS-JS-Fonts] A --> CAP A --> WINTUN WINTUN --> WG A --> PROTO PROTO --> WG WG --> CMD CMD --> A A --> SHELL CAP --> PROTO A -.-> WEB style A fill:#1a0505,stroke:#f85149,color:#f85149 style CAP fill:#083344,stroke:#39d2c0,color:#39d2c0 style WINTUN fill:#1a0533,stroke:#a371f7,color:#a371f7 style WG fill:#1a0505,stroke:#f85149,color:#f85149 style PROTO fill:#0d3320,stroke:#3fb950,color:#3fb950 style SHELL fill:#331a05,stroke:#d2991d,color:#d2991d style CMD fill:#331a05,stroke:#d2991d,color:#d2991d style WEB fill:#161b22,stroke:#30363d,color:#8b949e
📋 ASCII 文本视图 (点击展开) 
┌──────────────────────────────────────────────────────────┐
│            Revolution RAT (nosyliam/revolution)            │
├──────────────────────────────────────────────────────────┤
│                                                            │
│  ┌────────────────────┐    ┌─────────────────────────────┐ │
│  │ 通道 1: WireGuard   │    │ 通道 2: 内嵌 Web UI         │ │
│  │ 协议: Protobuf/TLS  │    │ 协议: HTTP (localhost)      │ │
│  │ VPN:  WireGuard     │    │ 资源: 74MB HTML/CSS/字体    │ │
│  │ 加密: ChaCha20+     │    │ 用途: 本地管理面板          │ │
│  │        Poly1305     │    │ 访问: VPN 隧道转发          │ │
│  │ 证书: linkedca +    │    │                              │ │
│  │        DigiCert EV  │    │                              │ │
│  └─────────┬───────────┘    └──────────────┬──────────────┘ │
│            │                               │                │
└────────────┼───────────────────────────────┼────────────────┘
             │                               │
             ▼                               ▼
   ┌──────────────────┐          ┌──────────────────────┐
   │  WireGuard 对端   │          │  Web UI (本地)        │
   │  (C2 入口)        │          │  127.0.0.1:?         │
   │  加密隧道         │          │  远程管理界面         │
   └──────────────────┘          └──────────────────────┘

通道 1: Protobuf C2 over WireGuard VPN

协议Protobuf 序列化 over TLS (推测 gRPC)
端口WireGuard UDP (可变, 默认 51820 或自定义)
地址/Domain通过 WireGuard VPN 隧道路由 — 地址加密不可见
IP未知 — WireGuard 对端 IP 运行时配置
加密WireGuard (ChaCha20 + Poly1305) + TLS (ECDHE-ECDSA-AES-128/256-CBC)
用途实时双向C2: 屏幕帧渗出 + 远程指令下发 + 命令执行结果回传
API引用Direct3D11CaptureFramePool + GdipCreateBitmapFromStream + ShellExecuteW + add_user_command
证书linkedca 证书链验证 + DigiCert EV Code Signing 根证书

通道 2: 内嵌 Web UI (本地服务)

协议HTTP (本地)
端口未知 (内嵌 74MB Web 资源)
域名localhost
IP127.0.0.1
ISP/AS
域名注册
DNS
证书
网站性质内嵌 Web 管理界面 (HTML/CSS/JS/字体)
恶意用途本地 Web 管理面板 — 攻击者可能通过 VPN 隧道远程访问

C2 通信时序

阶段1: wintun 驱动加载 → WireGuard 握手
阶段2: Protobuf 握手 + linkedca 证书验证
阶段3: Direct3D11 屏幕捕获帧池初始化
阶段4: add_user_command 指令接收循环
阶段5: ShellExecuteW 命令执行 + 结果回传
阶段6: GdipCreateBitmapFromStream 屏幕帧渗出
阶段7: RegSetValueExW 持久化安装
阶段8: Shell_NotifyIconW 系统托盘驻留 + 心跳

⚠ C2 基础设施评估

采用 WireGuard VPN 隧道作为 C2 隐蔽通道 — 流量加密至 ChaCha20+Poly1305 级别,难以深度包检测。C2 通信使用 Protobuf 序列化 (高效二进制格式),在 TLS 加密层之上。linkedca 证书颁发机构集成表明可能存在中间人证书生成能力。74MB 内嵌资源包含完整 Web UI — 可能通过本地端口或 VPN 隧道提供图形化管理界面。ShellExecuteW 提供完整的远程代码执行能力。

📌 ATT&CK 映射: T1573 (Encrypted Channel) | T1090 (Proxy/VPN) | T1113 (Screen Capture) | T1125 (Video Capture) | T1059 (Command Execution) | T1547.001 (Registry Run) | T1041 (Exfiltration Over C2)

§4 🏗️ 结构分析

段/节区布局

.text     vsize=169562  raw=169984  entropy=6.47 (正常 MSVC 代码段)
.rdata    vsize= 69264  raw= 69632  entropy=4.92 (只读数据/导入表)
.data     vsize=74316304 raw=74297856 entropy=2.52 (⚠74MB 内嵌资源!)
.pdata    vsize=  6756  raw=  7168  entropy=5.31 (异常处理表)
.rsrc     vsize= 45428  raw= 45568  entropy=6.04 (资源段/字体/HTML)
.reloc    vsize=  1852  raw=  2048  entropy=3.01 (重定位表)
.data 段异常巨大 (74MB),包含内嵌字体 (SIL Open Font License 文本)、HTML/Web UI 资源、protobuf 定义。未加密 (熵值 2.52)。

熵值分析

段/节区熵值判定
.text6.47正常 (MSVC 代码段)
.rdata4.92正常 (导入表/只读数据)
.data2.52低熵 — 未加密内嵌资源
.pdata5.31正常 (异常处理表)
.rsrc6.04正常 (压缩资源段)
.reloc3.01正常 (重定位表)
📊 熵值解读
全文件熵值受 .data 段 74MB 低熵资源拉低。各代码段熵值正常 (5-6.5),无高熵 (>7.0) 加密段,确认无壳。.data 段 2.52 低熵表明内嵌资源为明文 (字体/HTML/protobuf 定义)。

PDB 路径暴露的构建环境

源码路径C:\Users\Macro 4\go\src\github.com\nosyliam\revolution
构建用户Macro 4
GitHub 项目nosyliam/revolution
模块platform/capture/windows/CaptureController
WireGuard 驱动wintun 0.14 (Jason A. Donenfeld)
编译器MSVC 16.00.40219 (VS 2010)
优化LTCG (Link-Time Code Generation)

§5 ⚙️ 反汇编与行为流程

关键函数映射

地址函数功能
0x1400156a8entry_point程序入口点
importShellExecuteW (SHELL32)远程执行任意程序
importDirect3D11CaptureFramePoolD3D11屏幕帧捕获
importGraphicsCaptureItem捕获目标选择
importRegSetValueExW / RegQueryValueExA注册表持久化
importCreateStreamOnHGlobal内存流 — 屏幕数据传输
importGdipCreateBitmapFromStreamGDI+ 位图处理
stringsadd_user_command远程用户命令添加
stringslinkedca.GetRootCertificateResponse证书链验证/交互
stringswintun driverWireGuard VPN 隧道

系统调用分析

调用号系统调用用途地址
ShellExecuteW进程创建/程序执行import
Direct3D11CaptureFramePoolGPU加速屏幕捕获import
RegSetValueExW注册表写入 (持久化)import
CreateStreamOnHGlobal内存数据流传输import

行为执行流

01.加载 wintun 驱动 → 建立 WireGuard VPN 隧道
02.初始化 Direct3D11 屏幕捕获 (GraphicsCaptureItem / CaptureFramePool)
03.建立 Protobuf C2 通信 (linkedca 证书验证)
04.add_user_command → 接收远程指令
05.ShellExecuteW → 执行远程命令
06.GdipCreateBitmapFromStream → 屏幕帧编码传输
07.RegSetValueExW → 注册表持久化安装
08.CreateStreamOnHGlobal → 数据渗出

§6 🔬 家族溯源

编译元数据

字段来源
编译器Microsoft Visual C/C++ 16.00.40219 [LTCG/C++]DIE heuristic scan
IDEMicrosoft Visual Studio 2010DIE
LinkerMicrosoft Linker 10.00.40219DIE
构建用户Macro 4PDB: C:\Users\Macro 4\...
项目名github.com/nosyliam/revolutionPDB path
模块platform/capture/windows/CaptureControllerPDB: CaptureController.pdb
WireGuard 驱动wintun 0.14 (Jason A. Donenfeld)PDB: wintun.pdb
编译时间2025-05-10 (timestamp 1746891233)PE header
加壳无 — native MSVC LTCG 编译DIE + pefile 熵值

家族特征比对

维度本样本MoziRevolutionDarkTrackAsyncRATQuasarRATNjRATVenomRATNanocore匹配
屏幕捕获Direct3D11GDIDirectXGDI+GDI+GDIGDI0/8
VPN隧道WireGuard0/8
C2协议Protobuf自定义✅ ProtobufTCPTCPTCPTCPTCPTCP1/8
编译器MSVC 2010GCCGo+MSVCC#C#C#.NET.NET.NET0/8
构建来源GitHub✅ GitHub✅ GitHub✅ GitHub✅ GitHubForum✅ GitHub✅ GitHub6/8
内嵌资源74MB~50MB~5MB~10MB~3MB0/8
📌 家族归因结论
与已知 Mozi 变种 (IoT/ELF) 无关 — 该样本是 Windows RAT。最接近 Revolution (nosyliam/revolution) 项目,匹配 Protobuf C2 + WireGuard + Direct3D 屏幕捕获特征。WireGuard VPN 隧道为该 RAT 独有特征,不匹配任何已知 RAT 家族。

已知变种

变种架构大小编译器特征状态
28ad8bea (本样本)x86-6471.1 MBMSVC 16.00.40219PDB: nosyliam/revolution分析中

§7 🔬 深度行为分析

行为阶段拆解

阶段1: 环境初始化

行为: wintun 驱动加载 + WireGuard 隧道建立

证据: PDB: wintun.pdb, 导入: 驱动加载 API

阶段2: 屏幕捕获

行为: Direct3D11 屏幕帧捕获

证据: PDB: CaptureController, 导入: Direct3D11CaptureFramePool

阶段3: C2 连接

行为: Protobuf 序列化 C2 + linkedca 证书验证

证据: strings: protobuf, linkedca, TLS suites

阶段4: 指令接收

行为: add_user_command 处理远程指令

证据: strings: add_user_command

阶段5: 命令执行

行为: ShellExecuteW 执行系统命令

证据: import: ShellExecuteW

阶段6: 屏幕渗出

行为: GDI+ 位图编码 → protobuf → C2

证据: import: GdipCreateBitmapFromStream + CreateStreamOnHGlobal

阶段7: 持久化

行为: RegSetValueExW 注册表自启动

证据: import: RegSetValueExW + Shell_NotifyIconW

阶段8: 驻留等待

行为: 系统托盘驻留 + 心跳

证据: import: Shell_NotifyIconW + protobuf 遥测

协议/行为状态机

[启动] → wintun驱动加载
    → WireGuard隧道建立
    → [等待C2连接] ← linkedca证书验证
    → [已连接] ← protobuf握手
    → [接收指令] ← add_user_command
    ├→ ShellExecuteW → [执行命令] → [返回结果]
    ├→ CaptureFramePool → [屏幕捕获] → GdipBitmap → [渗出]
    └→ RegSetValueExW → [持久化] → Shell_NotifyIconW → [驻留]

📌 行为时序总结

PDB timestamp: 2025-05-10。WireGuard 隧道建立后进入主循环 — protobuf C2 心跳 + 屏幕帧捕获 + 指令轮询。RAT 典型模型:连接→认证→指令→执行→渗出→驻留。

§8 🔬 恶意性综合判定

多维度证据评估

维度证据权重恶意指数
屏幕捕获 (Direct3D11)PDB + 导入 API 确认1010/10
WireGuard VPN 隧道隐蔽wintun.pdb + Jason A. Donenfeld 签名109/10
远程命令执行ShellExecuteW + add_user_command1010/10
Protobuf C2 加密协议strings: protobuf + TLS suites88/10
源码暴露 (PDB路径)完整 GitHub 项目路径66/10
内嵌资源 (74MB Web UI).data 段 74MB + 字体许可证65/10
注册表持久化RegSetValueExW (推测)87/10
构建者信息暴露C:\Users\Macro 455/10
恶意性综合判定

误报排除论证

可排除误报:PDB路径指向知名开源远程桌面项目 nosyliam/revolution,但该工具无官方分发,任意第三方编译版本应视为恶意。WireGuard 集成表明有意图建立隐蔽隧道。

⚠ 判定结论

⚠️ 高置信度恶意代码 (CRITICAL RAT)。基于开源项目武器化的远程访问木马,集成屏幕捕获、VPN隧道、远程命令执行。构建者信息 (Macro 4) 和完整项目路径通过 PDB 意外暴露。

§9 🎯 ATT&CK 映射

Execution
T1204.002
User Execution: Malicious File
PE32+ GUI .exe
Execution
T1059
Command and Scripting Interpreter
ShellExecuteW + add_user_command
Collection
T1113
Screen Capture
Direct3D11CaptureFramePool + GraphicsCaptureItem
Command and Control
T1573
Encrypted Channel
WireGuard VPN + linkedca TLS certs
Command and Control
T1090
Proxy
wintun VPN 隧道
Persistence
T1547.001
Boot or Logon Autostart Execution
RegSetValueExW + Shell_NotifyIconW
Defense Evasion
T1027
Obfuscated Files or Information
74MB 内嵌资源混淆
Exfiltration
T1041
Exfiltration Over C2 Channel
GDI+ 编码 + protobuf 序列化
Discovery
T1082
System Information Discovery
protobuf opentelemetry 遥测
Collection
T1125
Video Capture
Direct3D11 Capture API

§10 🛡️ 反分析技术评估

反调试

API/技术检测目标绕过难度
未检测到显式反调试
// 未检测到 IsDebuggerPresent / NtQueryInformationProcess 等反调试 API
// MSVC 2010 LTCG 编译, 无反调试迹象

反虚拟机

检测方法VMwareVirtualBoxQEMU/KVM
未检测到反VM
// 未检测到 VMware/VBox 注册表检查或 MAC/CPUID 检测
// RAT 工具类恶意软件通常不包含反VM (需在真实环境运行)

综合评估

技术是否存在证据对抗难度
反调试未检测无 IsDebuggerPresent/NtQueryInformationProcess 引用
反虚拟机未检测无 VMware/VBox 注册表/MAC/CPUID 检测
反沙箱未检测无沙箱检测逻辑
代码混淆部分 (LTCG)MSVC LTCG 全程序优化
字符串加密未加密.data 段熵值 2.52 — 明文存储
该 RAT 无传统反分析技术。作为开源项目武器化版本,依赖合法外观 (GUI + 字体/Web UI) 和 VPN 隧道隐蔽通信规避检测。MSVC LTCG 优化提供有限混淆。PDB 路径未剥离 — 意外暴露构建环境。

★ §10b 🧹 痕迹清理

操作API/命令证据来源
未检测到显式痕迹清理
// 未检测到 wevtutil / DeleteFile / 日志清除等痕迹清理 API
// RAT 工具通常持续驻留,不主动清理痕迹

§11 🔧 逆向分析

Ghidra 反编译

反编译函数数超过 3MB 阈值 (71MB) — 跳过 Ghidra 反编译
反编译输出N/A
分析时长N/A

调用链分析 (GitNexus)

总函数数总调用关系最大调用深度
N/AN/AN/A
📂 调用链拓扑 (点击展开) 
超过 3MB 阈值 — 跳过

★ §12 🔬 QEMU 动态分析

QEMU 模式未执行 — 71MB PE 太大, 优先静态分析
执行结果跳过 — 安全约束 (无清洁 VM 可用于 RAT 执行)
网络隔离-net none ✅

§13 📦 IOC 汇总

IOC 字符串

偏移字符串类型用途/含义威胁等级
PDBC:\Users\Macro 4\go\src\github.com\nosyliam\revolutionPDB路径源码路径 + 构建用户HIGH
PDBCaptureController.pdbPDB文件屏幕捕获模块HIGH
PDBwintun.pdbPDB文件WireGuard VPN 隧道驱动HIGH
stringsadd_user_command / addUserCommandC2指令远程命令执行接口HIGH
stringsShellExecuteWAPI远程执行任意程序CRITICAL
stringsDirect3D11CaptureFramePoolAPI屏幕帧捕获 (D3D11)HIGH
stringsGraphicsCaptureItemAPI窗口/屏幕捕获目标选择HIGH
stringslinkedca.GetRootCertificateResponseTLS/CA证书颁发机构交互 (MITM?)HIGH
stringsprotobuf序列化C2 通信协议序列化MEDIUM
stringsopentelemetry遥测OpenTelemetry 可观测性框架LOW

📌 关键 IOC 解读

PDB 路径意外暴露了完整项目树: nosyliam/revolution 是 GitHub 上的开源远程桌面项目,被攻击者编译为 RAT。WireGuard wintun 驱动集成表明 C2 通信可能通过 VPN 隧道加密。Direct3D11 Capture API 用于屏幕监控。ShellExecuteW 实现远程命令执行。

⚠ 高威胁 IOC 汇总

PDB: C:\Users\Macro 4\go\src\github.com\nosyliam\revolution — 完整源码路径 + 构建用户名
GitHub: github.com/nosyliam/revolution — 开源 RAT 项目 — 远程桌面/屏幕捕获
驱动: wintun (WireGuard TUN adapter) — VPN 隧道 — 可能用于 C2 流量隐蔽
API: ShellExecuteW + add_user_command — 远程任意命令执行

网络 IOC

  • PDB项目github.com/nosyliam/revolution
  • Wintun驱动WireGuard VPN TUN (Jason A. Donenfeld)
  • 证书DigiCert EV Code Signing (可能用于TLS)

主机 IOC

  • SHA25628ad8bea01712d33febdb547e2602d6097e22aad29b35d40059c7ae2f2e05f03
  • MD5a5ba73839257796a04cce3266cb96b9c
  • PDB路径C:\Users\Macro 4\go\src\github.com\nosyliam\revolution
  • 编译时间2025-05-10 (timestamp 1746891233)

YARA 检测规则

rule RAT_Revolution_nosyliam_ScreenCapture {
    meta:
        description = "Detects nosyliam/revolution screen capture RAT"
        author = "Hermes Malware Analysis"
        hash = "28ad8bea01712d33febdb547e2602d6097e22aad29b35d40059c7ae2f2e05f03"
        date = "2026-06-21"
    strings:
        $pdb1 = "nosyliam/revolution" nocase wide ascii
        $pdb2 = "CaptureController.pdb" nocase wide ascii
        $pdb3 = "wintun.pdb" nocase wide ascii
        $capture1 = "Direct3D11CaptureFramePool" nocase wide ascii
        $capture2 = "GraphicsCaptureItem" nocase wide ascii
        $cmd = "add_user_command" nocase wide ascii
        $tls = "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA" nocase
        $protobuf = "google.protobuf" nocase
    condition:
        uint16(0) == 0x5A4D and
        ($pdb1 or $pdb2) and
        (2 of ($capture1, $capture2, $cmd, $tls, $protobuf))
}

§14 📋 最终判定

判定结果🔴 恶意代码 — CRITICAL RAT
恶意类型Remote Access Trojan / Screen Capture Backdoor
恶意家族Mozi / Revolution RAT (GitHub: nosyliam/revolution)
威胁级别CRITICAL
置信度90% — PDB路径确认开源项目 · 屏幕捕获API · WireGuard隧道 · protobuf C2 · 74MB内嵌资源 · ShellExecuteW
关联组织未知 (GitHub 项目: nosyliam/revolution, 构建用户: Macro 4)
目标平台Windows x86-64
感染链位置初始访问 / 横向移动 / 数据窃取

⚡ 综合判定

基于 GitHub 开源项目 nosyliam/revolution 编译的 Windows RAT。集成屏幕捕获 (Direct3D11 Capture)、WireGuard VPN 隧道 (wintun)、protobuf 序列化 C2 协议。74MB 内嵌资源包含完整 Web UI。编译自 Visual Studio 2010,构建用户 'Macro 4'。

报告时间: 2026-06-21 07:24 UTC | 家族: Mozi / Revolution RAT (GitHub: nosyliam/revolution)