ZynorRAT-skadevare
Forskere innen nettsikkerhet har identifisert en ny familie av skadevare, bestående av en Go-kompilert trojaner for fjerntilgang (RAT) kalt ZynorRAT. Implantatet er rettet mot både Linux- og Windows-verter, administreres gjennom en Telegram-bot, og – basert på tilgjengelig bevis – dukket først opp 8. juli 2025. Analytikere rapporterer ingen kode- eller atferdsoverlapping med tidligere katalogiserte familier, noe som tyder på en ny implementering snarere enn en variant av et eksisterende verktøysett.
Innholdsfortegnelse
Teknisk profil – språk, bygg og plattformuavhengige notater
ZynorRAT er implementert i Go, som lar en enkelt kodebase produsere binærfiler for flere OS-mål. Linux-bygget er funksjonsrikt og eksponerer et bredt sett med muligheter for rekognosering, datainnsamling og fjernkontroll. En Windows-bygg har også blitt observert og ser funksjonelt lik ut til å være Linux-varianten; den bruker imidlertid fortsatt Linux-lignende persistensteknikker (systemd-tjenester), noe som antyder at Windows-artefakten kan være ufullstendig eller under aktiv utvikling.
Funksjoner – hva skadevaren kan gjøre
Skadevarens primære oppgave er innsamling, eksfiltrering og fjerntilgang, med kommando-og-kontroll (C2) håndtert gjennom en Telegram-bot (identifisert som @lraterrorsbot, også kjent som 'lrat'). Når den er distribuert, mottar ZynorRAT ytterligere instruksjoner fra den boten og utfører oppgaver lokalt på offerets vert. Viktige Linux-funksjoner inkluderer filsøking og eksfiltrering, systemprofilering, prosesslisting og avslutning, skjermbildeopptak, vilkårlig kommandokjøring og persistens via systemd.
Observerte kommandoendepunkter (som implementert i Linux-bygget):
- /fs_list — opplist kataloger
- /fs_get — eksfiltrer filer fra verten
- /metrics — utfør systemprofilering
- /proc_list — kjør tilsvarende ps for å liste opp prosesser
- /proc_kill — dreper en prosess med PID
- /capture_display — ta skjermbilder av skjermen
- /persist — etablerer persistens (systemd-tjeneste)
Kommando og kontroll og distribusjon – hvordan operatøren kjører og sprer det
Telegram er ZynorRATs C2-kanal: skadevaren sjekker inn hos @lraterrorsbot-boten og mottar kommandoer over det mediet. Skjermbilder og andre artefakter som deles gjennom Telegram-boten viser nyttelaster som distribueres via en fildelingstjeneste kalt Dosya.co. Analyse av disse skjermbildene indikerer at forfatteren kan ha brukt maskiner de kontrollerer for å teste eller validere funksjonalitet (selvinfeksjon). Å bruke en offentlig meldingsplattform som Telegram som C2 gir brukervennlighet for operatøren og en viss grad av operasjonell fleksibilitet, men det skaper også tydelige indikatorer (bot-håndtak, uvanlig Telegram-trafikk) som forsvarere kan lete etter.
Attribusjon og tidslinje – hva vi med rimelighet kan utlede
Bevis peker mot aktivitet som startet 8. juli 2025. Språklige artefakter i bot-chattene og annen gjenfunnet tekst tyder på at operatøren kan være tyrkisk eller i det minste bruke tyrkiske språkressurser, og nåværende analyse favoriserer en enkelt, sannsynligvis enslig aktør snarere enn en gruppeutviklingsinnsats. Når det er sagt, bør tilskriving til en person eller nasjon forbli forsiktig i påvente av ytterligere bekreftelse.
Hvorfor dette er viktig – trender innen nyhet og utvikling av skadelig programvare
Selv om RAT-er er vanlige, er ZynorRAT bemerkelsesverdig fordi det ser ut til å være en renromsimplementering (ingen overlapp med kjente familier) som implementerer automatiserte, sentraliserte kontroller via Telegram. Dens plattformuavhengige ambisjoner og bruken av Go fremhever trenden med relativt små operatører som raskt produserer kapable verktøy for flere operativsystemer. Tidligfase-raffinement her viser hvor raskt nye RAT-er kan dukke opp og bli tatt i bruk.
Avsluttende vurdering
ZynorRAT representerer et moderne eksempel på en lett, men kapabel RAT bygget for distribusjon på tvers av plattformer og administrert gjennom en standard meldingstjeneste. Oppdagelsen understreker at selv enkeltstående operatører raskt kan produsere fleksible verktøy for fjerntilgang ved hjelp av moderne språk som Go. Organisasjoner bør behandle Telegram-basert C2 og uventet bruk av fildelingstjenester for forbrukere som høyprioriterte søkeelementer, forsterke tjenesteoppretting på endepunkter og bruke tiltakene som er oppført ovenfor for å redusere eksponering.
