ZynorRAT मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने एक नए मैलवेयर परिवार की पहचान की है, जिसमें गो-कंपाइल्ड रिमोट एक्सेस ट्रोजन (RAT) शामिल है, जिसे ZynorRAT कहा जाता है। यह इम्प्लांट लिनक्स और विंडोज दोनों होस्ट्स को लक्षित करता है, एक टेलीग्राम बॉट के माध्यम से प्रबंधित होता है, और - उपलब्ध साक्ष्यों के आधार पर - पहली बार 8 जुलाई, 2025 को सामने आया। विश्लेषकों का कहना है कि पहले सूचीबद्ध परिवारों के साथ कोई कोड या व्यवहारिक ओवरलैप नहीं है, जो मौजूदा टूलसेट के एक संस्करण के बजाय एक नए कार्यान्वयन का सुझाव देता है।

तकनीकी प्रोफ़ाइल — भाषा, निर्माण और क्रॉस-प्लेटफ़ॉर्म नोट्स

ZynorRAT को Go में लागू किया गया है, जो एक ही कोडबेस को कई ऑपरेटिंग सिस्टम लक्ष्यों के लिए बाइनरी उत्पन्न करने की अनुमति देता है। लिनक्स बिल्ड सुविधाओं से भरपूर है और इसमें टोही, डेटा संग्रह और रिमोट कंट्रोल के लिए व्यापक क्षमताएँ उपलब्ध हैं। एक विंडोज़ बिल्ड भी देखा गया है और यह कार्यात्मक रूप से लिनक्स संस्करण के समान प्रतीत होता है; हालाँकि, यह अभी भी लिनक्स-शैली की दृढ़ता तकनीकों (systemd सेवाओं) का उपयोग करता है, जिसका अर्थ है कि विंडोज़ आर्टिफैक्ट अधूरा हो सकता है या सक्रिय विकास के अधीन हो सकता है।

क्षमताएँ - मैलवेयर क्या कर सकता है

मैलवेयर का मुख्य उद्देश्य संग्रहण, निष्कासन और दूरस्थ पहुँच है, जिसका कमांड-एंड-कंट्रोल (C2) एक टेलीग्राम बॉट (जिसे @lraterrorsbot, उर्फ़ 'lrat' के रूप में पहचाना जाता है) के माध्यम से नियंत्रित किया जाता है। एक बार तैनात होने के बाद, ZynorRAT उस बॉट से आगे के निर्देश प्राप्त करता है और पीड़ित होस्ट पर स्थानीय रूप से कार्य करता है। प्रमुख Linux क्षमताओं में फ़ाइल ब्राउज़िंग और निष्कासन, सिस्टम प्रोफ़ाइलिंग, प्रक्रिया सूचीकरण और समाप्ति, स्क्रीनशॉट कैप्चर, मनमाना कमांड निष्पादन, और systemd के माध्यम से दृढ़ता शामिल हैं।

देखे गए कमांड एंडपॉइंट (जैसा कि लिनक्स बिल्ड में कार्यान्वित किया गया है):

• /fs_list — निर्देशिकाओं की गणना करें
• /fs_get — होस्ट से फ़ाइलें निकालना
• /metrics — सिस्टम प्रोफाइलिंग करें
• /proc_list — प्रक्रियाओं को सूचीबद्ध करने के लिए ps के समतुल्य चलाएँ
• /proc_kill — PID द्वारा एक प्रक्रिया को समाप्त करें
• /capture_display — डिस्प्ले का स्क्रीनशॉट लें
• /persist — दृढ़ता स्थापित करें (systemd सेवा)

कमांड-एंड-कंट्रोल और वितरण - ऑपरेटर इसे कैसे चलाता और फैलाता है

टेलीग्राम, ZynorRAT का C2 चैनल है: मैलवेयर @lraterrorsbot बॉट के साथ जुड़ता है और उसी माध्यम से कमांड प्राप्त करता है। टेलीग्राम बॉट के ज़रिए साझा किए गए स्क्रीनशॉट और अन्य कलाकृतियाँ, Dosya.co नामक फ़ाइल-शेयरिंग सेवा के ज़रिए पेलोड वितरित होते हुए दिखाती हैं। उन स्क्रीनशॉट के विश्लेषण से संकेत मिलता है कि लेखक ने कार्यक्षमता (स्व-संक्रमण) का परीक्षण या सत्यापन करने के लिए अपने नियंत्रण वाली मशीनों का इस्तेमाल किया होगा। टेलीग्राम जैसे सार्वजनिक मैसेजिंग प्लेटफ़ॉर्म को C2 के रूप में इस्तेमाल करने से ऑपरेटर के लिए उपयोग में आसानी और कुछ हद तक परिचालन लचीलापन मिलता है, लेकिन यह स्पष्ट संकेतक (बॉट हैंडल, असामान्य टेलीग्राम ट्रैफ़िक) भी प्रदान करता है जिनकी सुरक्षा करने वाले खोज कर सकते हैं।

विशेषता और समयरेखा - हम यथोचित रूप से क्या अनुमान लगा सकते हैं

साक्ष्य 8 जुलाई, 2025 से शुरू होने वाली गतिविधि की ओर इशारा करते हैं। बॉट चैट और अन्य पुनर्प्राप्त पाठ में भाषा संबंधी कलाकृतियों से पता चलता है कि संचालक तुर्की हो सकता है या कम से कम तुर्की भाषा के संसाधनों का उपयोग कर रहा हो सकता है, और वर्तमान विश्लेषण समूह विकास प्रयास के बजाय एकल, संभवतः अकेले अभिनेता का पक्षधर है। हालाँकि, किसी व्यक्ति या राष्ट्र को जिम्मेदार ठहराने में आगे की पुष्टि होने तक सावधानी बरतनी चाहिए।

यह क्यों मायने रखता है — नवीनता और मैलवेयर-विकास के रुझान

हालाँकि RAT आम हैं, ZynorRAT उल्लेखनीय है क्योंकि यह एक क्लीन-रूम कार्यान्वयन (ज्ञात परिवारों के साथ कोई ओवरलैप नहीं) प्रतीत होता है जो टेलीग्राम के माध्यम से स्वचालित, केंद्रीकृत नियंत्रण लागू करता है। इसकी क्रॉस-प्लेटफ़ॉर्म महत्वाकांक्षाएँ और Go का उपयोग अपेक्षाकृत छोटे ऑपरेटरों द्वारा सक्षम मल्टी-OS टूलिंग को तेज़ी से तैयार करने की प्रवृत्ति को उजागर करता है। यहाँ प्रारंभिक चरण का परिष्कार दर्शाता है कि नए RAT कितनी तेज़ी से उभर सकते हैं और लागू किए जा सकते हैं।

समापन मूल्यांकन

ZynorRAT एक हल्के लेकिन सक्षम RAT का एक समकालीन उदाहरण प्रस्तुत करता है जिसे क्रॉस-प्लेटफ़ॉर्म परिनियोजन के लिए डिज़ाइन किया गया है और एक तैयार संदेश सेवा के माध्यम से प्रबंधित किया जाता है। इसकी खोज इस बात पर ज़ोर देती है कि एकल ऑपरेटर भी गो जैसी आधुनिक भाषाओं का उपयोग करके लचीले रिमोट एक्सेस टूल तेज़ी से तैयार कर सकते हैं। संगठनों को टेलीग्राम-आधारित C2 और उपभोक्ता फ़ाइल-शेयरिंग सेवाओं के अप्रत्याशित उपयोग को उच्च-प्राथमिकता वाले हंट आइटम के रूप में देखना चाहिए, एंडपॉइंट पर सेवा निर्माण को मज़बूत करना चाहिए, और जोखिम को कम करने के लिए ऊपर सूचीबद्ध शमन उपायों को लागू करना चाहिए।