いくらログ解析しようとも公開鍵で暗号化してるから秘密鍵がないと解除しようもないから何の意味もない
トレンドマイクロがコード解析して手法は分かってるからいくら残骸調べてもそれ以上の情報はないしね

トレンドマイクロが解析した攻撃者の手法を見てもルーターの権限は奪ってなさそうだから落としたはずのサーバが再起動したのは障害対策のためにルーターに仕込んだWoLが動いたのを焦って攻撃と勘違いしたんだと思うわ

にしてもシステムシャットダウンが実行できるならローカルコンソールは使えたんだろうしシステムから正常にデバイスアクセスとランレベル変更までは出来たってことだよね
まずルーターのゲートウェイを全部導通タイムアウトのDMZ鯖に向けてそっちで通信ログを取りつつROMデバイスに保管してたコマンドセットを使ってメモリダンプとログファイルの確保してからランレベル1に変更、その後システムプロセス以外をkillして現状保全が定石だろうに

LAN繋いだままシャットダウンするとかとんだド素人対応だよ