Trend Micro beschreibt QLNX als persistente, ausweichende Implantat-Software, die Fernzugriff, Überwachung und das Ausschleusen von Zugangsdaten ermöglicht. Die Schadsoftware wird im Arbeitsspeicher ausgeführt, fälscht ihren Prozessnamen und kann sich selbst löschen, um einer Entdeckung zu entgehen. Zusätzlich führt sie eine Systemerkundung durch, um Container zu erkennen, verbirgt bestimmte Prozesse, Ports und Dateien und löscht Systemprotokolle.

Zum Abgreifen von Zugangsdaten setzt QLNX eine Backdoor im Pluggable Authentication Module (PAM) ein und sammelt umfangreiche Systeminformationen, darunter Zwischenablage-Inhalte, SSH-Schlüssel und Browser-Profile. Die Schadsoftware enthält zwei PAM-Backdoor-Varianten: Die erste greift Klartext-Zugangsdaten aus Authentifizierungsvorgängen ab, verfügt über einen Master-Passwort-Umgehungsmechanismus und protokolliert die Daten ausgehender SSH-Sitzungen. Die zweite lädt sich in dynamisch gelinkte Prozesse, um Dienstname, Benutzername und Authentifizierungstoken zu extrahieren.

Charakteristisch ist eine zweistufige Rootkit-Architektur. Im Userspace setzt QLNX Hooks über die Shared Library LD_PRELOAD, was zugleich die Persistenz ermöglicht. Hinzu kommt ein eBPF-Rootkit-Controller, der BPF-Maps auf Kernel-Ebene verwaltet. Diese Komponente enthält laut Trend Micro das eigentliche kernelseitige eBPF-Programm nicht selbst; ihre Aufgabe beschränkt sich darauf, BPF-Maps anzulegen und zu verwalten – also Kernel-Datenstrukturen, die die Liste der zu versteckenden Objekte aufnehmen. Auf Anweisung des C&C-Servers nutzt das Implantat das BPF-Subsystem des Linux-Kernels, um Prozesse, Dateien und Netzwerkports vor den üblichen Userland-Werkzeugen zu verbergen.

QLNX kann sich auf sechs verschiedene Arten dauerhaft einnisten – über Crontab-Einträge, Desktop-Einträge, Init-Skripte, Service-Dateien und Shell-Zeilen – und mehrere dieser Methoden gleichzeitig auf demselben System einsetzen, je nach den Befehlen des Betreibers.

Insgesamt unterstützt die Schadsoftware 58 verschiedene Befehle. Damit können Angreifer unter anderem mit Shells interagieren, Dateien und Prozesse auflisten und manipulieren, Verzeichnisse anlegen, Dateien herunter- und hochladen, das System neu starten oder herunterfahren, URLs öffnen, Benachrichtigungen anzeigen, TCP-Sockets öffnen, sensible Informationen abgreifen, den Bildschirm aufzeichnen, Tastatureingaben mitschneiden und mit erbeuteten SSH-Zugangsdaten Befehle auf entfernten Hosts ausführen.

Laut Trend Micro wurde das QLNX-Implantat auf langfristige Tarnung und Diebstahl von Zugangsdaten ausgelegt. Gelinge es Angreifern, QLNX bei einem Paket-Verantwortlichen zu platzieren, erhielten sie Zugriff auf dessen Veröffentlichungs-Pipeline. Eine einzige Kompromittierung lasse sich unbemerkt nutzen, um Pakete zu trojanisieren, Backdoors in Build-Artefakte einzuschleusen oder in Cloud-Umgebungen mit Produktionsinfrastruktur überzugehen.