Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós ZynorRAT

Programari maliciós ZynorRAT

El Mezo el Programari maliciós, Eines d'administració remota
Traduir a:

Investigadors de ciberseguretat han identificat una nova família de programari maliciós, que consisteix en un troià d'accés remot (RAT) compilat per Go anomenat ZynorRAT. L'implant té com a objectiu tant hosts Linux com Windows, es gestiona a través d'un bot de Telegram i, segons l'evidència disponible, va aparèixer per primera vegada el 8 de juliol de 2025. Els analistes informen que no hi ha cap solapament de codi ni de comportament amb famílies catalogades anteriorment, cosa que suggereix una nova implementació en lloc d'una variant d'un conjunt d'eines existent.

Perfil tècnic: notes sobre llenguatge, compilació i multiplataforma

ZynorRAT està implementat a Go, cosa que permet que una única base de codi produeixi binaris per a múltiples objectius de sistema operatiu. La compilació de Linux és rica en funcions i exposa un ampli conjunt de capacitats per al reconeixement, la recopilació de dades i el control remot. També s'ha observat una compilació de Windows que sembla funcionalment similar a la variant de Linux; tanmateix, encara utilitza tècniques de persistència d'estil Linux (serveis systemd), cosa que implica que l'artefacte de Windows pot estar incomplet o en desenvolupament actiu.

Capacitats: què pot fer el programari maliciós

La missió principal del programari maliciós és la recopilació, l'exfiltració i l'accés remot, amb el Comandament i Control (C2) gestionat a través d'un bot de Telegram (identificat com a @lraterrorsbot, també conegut com a "lrat"). Un cop desplegat, ZynorRAT rep més instruccions d'aquest bot i realitza tasques localment a l'amfitrió de la víctima. Les capacitats clau de Linux inclouen la navegació i l'exfiltració de fitxers, la creació de perfils del sistema, la llista i la terminació de processos, la captura de captures de pantalla, l'execució arbitrària d'ordres i la persistència mitjançant systemd.

Punts finals de comanda observats (tal com s'implementen a la compilació de Linux):

  • /fs_list — enumera els directoris
  • /fs_get — exfiltra els fitxers de l'amfitrió
  • /metrics — realitza la creació de perfils del sistema
  • /proc_list — executa l'equivalent de ps per llistar processos
  • /proc_kill — mata un procés per PID
  • /capture_display — fa captures de pantalla de la pantalla
  • /persist — estableix la persistència (servei systemd)

Comandament i control i distribució: com l’operador ho executa i ho distribueix

Telegram és el canal C2 de ZynorRAT: el programari maliciós es connecta amb el bot @lraterrorsbot i rep ordres a través d'aquest mitjà. Les captures de pantalla i altres artefactes compartits a través del bot de Telegram mostren càrregues útils que es distribueixen a través d'un servei de compartició d'arxius anomenat Dosya.co. L'anàlisi d'aquestes captures de pantalla indica que l'autor pot haver utilitzat màquines que controla per provar o validar la funcionalitat (autoinfecció). L'ús d'una plataforma de missatgeria pública com Telegram com a C2 proporciona facilitat d'ús per a l'operador i un cert nivell de flexibilitat operativa, però també crea indicadors clars (identificador de bot, trànsit inusual de Telegram) que els defensors poden buscar.

Atribució i cronologia: allò que podem deduir raonablement

Les proves apunten a una activitat que va començar el 8 de juliol de 2025. Els artefactes lingüístics als xats dels bots i altres textos recuperats suggereixen que l'operador podria ser turc o, si més no, utilitzar recursos en llengua turca, i l'anàlisi actual afavoreix un únic actor, probablement solitari, en lloc d'un esforç de desenvolupament en grup. Dit això, l'atribució a una persona o nació hauria de ser cautelosa a l'espera de més corroboració.

Per què això és important: novetats i tendències de desenvolupament de programari maliciós

Tot i que els RAT són comuns, ZynorRAT destaca perquè sembla ser una implementació de sala blanca (sense solapaments amb famílies conegudes) que implementa controls automatitzats i centralitzats a través de Telegram. Les seves ambicions multiplataforma i l'ús de Go destaquen la tendència d'operadors relativament petits que produeixen ràpidament eines multi-sistema operatiu capaces. La sofisticació en fase inicial mostra la rapidesa amb què poden sorgir i ser implementats nous RAT.

Avaluació final

ZynorRAT representa un exemple contemporani d'un RAT lleuger però capaç, creat per a la implementació multiplataforma i gestionat a través d'un servei de missatgeria estàndard. El seu descobriment subratlla que fins i tot els operadors individuals poden produir eines d'accés remot flexibles ràpidament utilitzant llenguatges moderns com Go. Les organitzacions haurien de tractar el C2 basat en Telegram i l'ús inesperat de serveis de compartició de fitxers de consum com a elements de cerca d'alta prioritat, endurir la creació de serveis als punts finals i aplicar les mitigacions esmentades anteriorment per reduir l'exposició.

Tendència

Més vist

Carregant...