Mozi采用了51la网络平台来统计分析其自己经营规模,这是僵尸网络创作者采用的统计分析软件，其准确度和延迟时间远超于外界检测。二零二零年9月，咱们取得了Mozi的后台管理数据统计，在上面，咱们除开看到了Mozi_BOT网络节点的数据统计外，还见到下面的图所显示的1组未曾见过的汇报通道。2021年8月18周边，安全厂商网御星云，奇安信公布威协预警信息，1个名叫Wokerminer的挖矿木马已经根据sftp口令爆破散播，有P2P网络情形，这导致了咱们的兴趣爱好。历经深入分析，咱们惊讶的看到这恰好是Mozi拒绝服务攻击中的sftp网络节点，51la那组独特汇报通道恰好是来自于它，按照旧例，咱们将它称作Mozi_sftp。

咱们选择深入分析的样本基本资料以下所显示：简易而言，Mozi_sftp是一个根据sftp弱口令爆破完成蠕虫式散播的挖矿木马，大概于二零二零年10月逐渐活动(根据样本在ES的时长，不一定精确)，钱包地址以下所显示，能够看得出Mozi_sftp和Mozi_ftp采用似的的钱包。Mozi_sftp是由GO源代码和C源代码混和编译程序而成。在其中GO源代码承担sftp有关的爆破散播，及其对Config的解决，C源代码则承担解决添加MoziP2P网络，获取Config和Mozi_ftp似的，用以破译的Config的XOR密匙，及其用以Config签名检测的2个public_key和Mozi_BOT中常用的是似的的，这表明Mozi_sftp与Mozi_BOT源自相同团伙。针对根据检测后的Config，Mozi_sftp用根据变量set_deal_cons来解决，例如接下来的源代码片段便是在解决swan标识。相比于Mozi_BOT，Mozi_sftp除开适用基础标识，还完成了很多已有的独特标识.