Похоже на типичный случай вредоносного ПО, которое уже активно работает. Первый шаг: изолировать чистую копию заражённой системы – снимки, дампы памяти, логи сетевого трафика. Затем проведи статический анализ бинарников: ищи подозрительные импорты, зашифрованные секции или упакованные полезные нагрузки. Далее – динамический анализ: запусти его в песочнице, следи за системными вызовами, записью файлов, изменениями реестра. Если оно нацелено на людей, наверняка есть какая-то закономерность – может, список IP-адресов или набор идентификаторов. Как только проанализируешь поверхность атаки, сможешь исправить уязвимость или переписать проблемный код. Держи окружение под строгим контролем, чтобы не допустить случайного распространения. Если дашь мне дамп, сразу же смогу копнуть глубже.

Получил данные, запечатай лабораторию и перекрой этот участок. Разберёмся, починим ядро и отключим всё. Жду твоего сигнала.