برنامج ZynorRAT الخبيث

حدد باحثو الأمن السيبراني عائلة جديدة من البرمجيات الخبيثة، تتكون من حصان طروادة للوصول عن بُعد (RAT) مُجمّع بلغة Go، يُطلق عليه اسم ZynorRAT. يستهدف هذا البرنامج المُزروع أجهزة Linux وWindows، ويُدار عبر بوت Telegram، وقد ظهر لأول مرة - بناءً على الأدلة المتاحة - في 8 يوليو 2025. أفاد المحللون بعدم وجود أي تداخل في الكود أو السلوك مع العائلات المُصنّفة سابقًا، مما يُشير إلى تطبيق جديد وليس نسخة مُختلفة من مجموعة أدوات موجودة.

الملف الفني - ملاحظات حول اللغة والبناء والأنظمة الأساسية المتعددة

تم تنفيذ ZynorRAT بلغة Go، مما يسمح لقاعدة برمجية واحدة بإنشاء ملفات ثنائية لأهداف أنظمة تشغيل متعددة. يتميز إصدار لينكس بغنى الميزات، ويوفر مجموعة واسعة من الإمكانيات للاستطلاع وجمع البيانات والتحكم عن بُعد. كما لوحظ إصدار ويندوز، ويبدو مشابهًا وظيفيًا لإصدار لينكس؛ إلا أنه لا يزال يستخدم تقنيات الثبات على غرار لينكس (خدمات systemd)، مما يعني أن إصدار ويندوز قد يكون غير مكتمل أو قيد التطوير.

القدرات - ما يمكن أن يفعله البرنامج الخبيث

تتمثل المهمة الرئيسية للبرمجية الخبيثة في جمع البيانات واستخراجها والوصول إليها عن بُعد، حيث تتم إدارة الأوامر والتحكم (C2) من خلال بوت تيليجرام (يُعرف باسم @lraterrorsbot، والمعروف أيضًا باسم "lrat"). بمجرد نشره، يتلقى ZynorRAT تعليمات إضافية من هذا البوت وينفذ مهامًا محليًا على الجهاز المُستهدف. تشمل إمكانيات لينكس الرئيسية تصفح الملفات واستخراجها، وإنشاء ملفات تعريف للنظام، وسرد العمليات وإنهائها، والتقاط لقطات شاشة، وتنفيذ أوامر عشوائية، والاستمرارية عبر systemd.

نقاط نهاية الأوامر التي تمت ملاحظتها (كما تم تنفيذها في إصدار Linux):

• /fs_list — حصر الدلائل
• /fs_get — استخراج الملفات من المضيف
• /metrics — إجراء تحليل ملف تعريف النظام
• /proc_list — تشغيل ما يعادل ps لإدراج العمليات
• /proc_kill — قم بإنهاء عملية بواسطة PID
• /capture_display — التقاط لقطات شاشة للشاشة
• /persist — إنشاء الثبات (خدمة systemd)

القيادة والتحكم والتوزيع - كيف يقوم المشغل بتشغيله ونشره

تيليجرام هو قناة القيادة والتحكم (C2) الخاصة بـ ZynorRAT: يتصل البرنامج الخبيث ببوت @lraterrorsbot ويتلقى الأوامر عبرها. تُظهر لقطات الشاشة والآثار الأخرى المُشاركة عبر بوت تيليجرام حمولات يتم توزيعها عبر خدمة مشاركة ملفات تُسمى Dosya.co. يشير تحليل لقطات الشاشة هذه إلى أن مُنشئ البرنامج ربما استخدم أجهزة يتحكم بها لاختبار أو التحقق من صحة وظائفها (الإصابة الذاتية). يوفر استخدام منصة مراسلة عامة مثل تيليجرام كقناة قيادة وتحكم (C2) سهولة في الاستخدام للمُشغّل ومستوىً من المرونة التشغيلية، كما يُنشئ مؤشرات واضحة (مثل مُعرّف البوت، وحركة مرور تيليجرام غير الاعتيادية) يُمكن للمُدافعين رصدها.

الإسناد والجدول الزمني - ما يمكننا استنتاجه بشكل معقول

تشير الأدلة إلى بدء النشاط في 8 يوليو/تموز 2025. وتشير آثار اللغة في محادثات الروبوتات والنصوص الأخرى المُسترجَعة إلى أن المُشغِّل قد يكون تركيًا أو على الأقل يستخدم موارد باللغة التركية، ويُرجِّح التحليل الحالي وجود جهة واحدة، يُرجَّح أنها جهة منفردة، بدلًا من جهود تطوير جماعية. ومع ذلك، ينبغي توخي الحذر في نسب المسؤولية إلى شخص أو دولة ريثما يتم التحقق من صحة المزيد من الأدلة.

لماذا هذا مهم - اتجاهات الابتكار وتطوير البرامج الضارة

على الرغم من شيوع استخدام أدوات الوصول عن بُعد (RATs)، إلا أن ZynorRAT يتميز بكونه تطبيقًا خاليًا من التداخلات مع عائلات معروفة، حيث يُطبّق ضوابط مركزية آلية عبر Telegram. تُبرز طموحاته في العمل عبر الأنظمة الأساسية واستخدامه للغة Go توجه شركات صغيرة نسبيًا لإنتاج أدوات فعّالة متعددة أنظمة التشغيل بسرعة. يُظهر التطور في مراحله المبكرة مدى سرعة ظهور أدوات الوصول عن بُعد الجديدة وانتشارها.

التقييم الختامي

يُمثل ZynorRAT مثالاً معاصراً لبرنامج RAT خفيف الوزن وفعال، مُصمم للنشر عبر منصات متعددة، ويُدار من خلال خدمة مراسلة جاهزة. يُؤكد اكتشافه أنه حتى المُشغّلين الفرديين يُمكنهم إنتاج أدوات وصول عن بُعد مرنة بسرعة باستخدام لغات حديثة مثل Go. ينبغي على المؤسسات التعامل مع القيادة والتحكم (C2) المُعتمدة على Telegram، والاستخدام غير المتوقع لخدمات مشاركة ملفات المستهلكين، كعناصر بحث ذات أولوية عالية، وتعزيز إنشاء الخدمات على نقاط النهاية، وتطبيق إجراءات التخفيف المذكورة أعلاه للحد من التعرض للاختراق.