Malware ZynorRAT
I ricercatori di sicurezza informatica hanno identificato una nuova famiglia di malware, composta da un trojan di accesso remoto (RAT) compilato in Go, denominato ZynorRAT. L'impianto prende di mira sia host Linux che Windows, è gestito tramite un bot di Telegram e, in base alle prove disponibili, è apparso per la prima volta l'8 luglio 2025. Gli analisti non segnalano sovrapposizioni di codice o comportamento con le famiglie precedentemente catalogate, il che suggerisce una nuova implementazione piuttosto che una variante di un set di strumenti esistente.
Sommario
Profilo tecnico: note su linguaggio, build e multipiattaforma
ZynorRAT è implementato in Go, il che consente a un'unica base di codice di produrre file binari per più sistemi operativi. La build per Linux è ricca di funzionalità e offre un'ampia gamma di funzionalità per la ricognizione, la raccolta dati e il controllo remoto. È stata osservata anche una build per Windows, che appare funzionalmente simile alla variante per Linux; tuttavia, utilizza ancora tecniche di persistenza in stile Linux (servizi systemd), il che implica che l'artefatto per Windows potrebbe essere incompleto o in fase di sviluppo attivo.
Capacità: cosa può fare il malware
La missione principale del malware è la raccolta, l'esfiltrazione e l'accesso remoto, con comando e controllo (C2) gestito tramite un bot Telegram (identificato come @lraterrorsbot, noto anche come "lrat"). Una volta distribuito, ZynorRAT riceve ulteriori istruzioni da quel bot ed esegue le attività localmente sull'host della vittima. Le principali funzionalità Linux includono la navigazione e l'esfiltrazione dei file, la profilazione del sistema, l'elenco e la terminazione dei processi, l'acquisizione di screenshot, l'esecuzione di comandi arbitrari e la persistenza tramite systemd.
Endpoint del comando osservati (come implementati nella build Linux):
- /fs_list — enumera le directory
- /fs_get — esfiltra i file dall'host
- /metrics — esegue la profilazione del sistema
- /proc_list — esegue l'equivalente di ps per elencare i processi
- /proc_kill — uccide un processo tramite PID
- /capture_display — cattura screenshot del display
- /persist — stabilisce la persistenza (servizio systemd)
Comando e controllo e distribuzione: come l’operatore li gestisce e li distribuisce
Telegram è il canale C2 di ZynorRAT: il malware si collega al bot @lraterrorsbot e riceve comandi tramite tale canale. Screenshot e altri artefatti condivisi tramite il bot Telegram mostrano payload distribuiti tramite un servizio di condivisione file chiamato Dosya.co. L'analisi di questi screenshot indica che l'autore potrebbe aver utilizzato macchine da lui controllate per testare o convalidare funzionalità (autoinfezione). L'utilizzo di una piattaforma di messaggistica pubblica come Telegram come C2 offre facilità d'uso per l'operatore e un certo livello di flessibilità operativa, ma crea anche chiari indicatori (nome del bot, traffico Telegram insolito) che i difensori possono individuare.
Attribuzione e cronologia: cosa possiamo ragionevolmente dedurre
Le prove indicano un'attività iniziata l'8 luglio 2025. Gli artefatti linguistici nelle chat del bot e altri testi recuperati suggeriscono che l'operatore potrebbe essere turco o almeno utilizzare risorse in lingua turca, e le analisi attuali favoriscono un singolo, probabilmente isolato, attore piuttosto che uno sforzo di sviluppo di gruppo. Detto questo, l'attribuzione a una persona o a una nazione dovrebbe rimanere cauta in attesa di ulteriori conferme.
Perché questo è importante: novità e tendenze nello sviluppo di malware
Sebbene i RAT siano comuni, ZynorRAT è degno di nota perché sembra essere un'implementazione in camera bianca (senza sovrapposizioni con famiglie note) che implementa controlli automatizzati e centralizzati tramite Telegram. Le sue ambizioni multipiattaforma e l'uso di Go evidenziano la tendenza di operatori relativamente piccoli a produrre rapidamente strumenti multi-OS efficienti. La sofisticatezza iniziale mostra la rapidità con cui nuovi RAT possono emergere ed essere impiegati.
Valutazione conclusiva
ZynorRAT rappresenta un esempio contemporaneo di un RAT leggero ma efficiente, progettato per l'implementazione multipiattaforma e gestito tramite un servizio di messaggistica standard. La sua scoperta sottolinea che anche singoli operatori possono produrre rapidamente strumenti di accesso remoto flessibili utilizzando linguaggi moderni come Go. Le organizzazioni dovrebbero trattare il C2 basato su Telegram e l'uso imprevisto di servizi di condivisione file consumer come elementi di ricerca ad alta priorità, rafforzare la creazione di servizi sugli endpoint e applicare le mitigazioni sopra elencate per ridurre l'esposizione.
