Почему у shuffle privacy есть фазовая диаграмма — и причём тут XLoader

31 марта 2026 года ThreatLabz/Zscaler опубликовали разбор последних версий XLoader. Начиная с версии 8.1, авторы трояна переработали механизм связи с управляющим сервером: в бинарнике зашито 65 C2-адресов. За проход XLoader случайно опрашивает 16 из них; процесс повторяется, пока не будут перебраны все. Реальный C2 различим только после установления соединения и проверки ответа. Дополнительно используются несколько слоёв шифрования и две реализации HTTP-запросов с разными User-Agent’ами. Для аналитика это задача различения: по наблюдаемому транскрипту — набору соединений и ответов — восстановить скрытую связь «бот → реальный C2». Задача выглядит чисто инженерной. Но за ней стоит математический вопрос: сколько информации о скрытой связи содержит транскрипт, и от чего зависит ответ?

https://habr.com/ru/articles/1021892/

#differential_privacy #shuffle_model #privacy_amplification #C2_obfuscation #фазовая_диаграмма #Poisson #GDP