O Winnti é um backdoor que tem sido usado por muitos grupos APT.

A análise técnica desta variante que foi descoberta para Linux, e que data desde 2015, revelou a existência de dois ficheiros: o principal backdoor (libxselinux) e uma livraria (libxselinux.so), usada para evitar a deteção.

A nível de estrutura, este backdoor é modular, implementando funcionalidades usando plugins; mas como não tinha nenhum plugin ativo durante a análise, os investigadores suspeitam que quem o desenhou usou módulos adicionais para conseguir implementar plugins para execução de código remota, exfiltração de ficheiros e proxy pelo protocolo socks5.

Entre os protocolos utilizados para conseguir comunicação com o exterior, este backdoor usa o ICMP, HTTP e mais alguns personalizados usando tanto TCP como UDP. Além disso, tem outra funcionalidade que permite aos atacantes iniciaram a ligação direta à máquina afetada sem passarem pelo servidor de controlo.

Fonte: https://www.zdnet.com/article/security-researchers-discover-linux-version-of-winnti-malware/