Rabattoffert för flera licenser
Hotdatabas Skadlig programvara ZynorRAT-skadlig kod

ZynorRAT-skadlig kod

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg
Översätt till:

Cybersäkerhetsforskare har identifierat en ny familj av skadliga program, bestående av en Go-kompilerad fjärråtkomsttrojan (RAT) kallad ZynorRAT. Implantatet riktar sig mot både Linux- och Windows-värdar, hanteras via en Telegram-bot och – baserat på tillgängliga bevis – dök först upp den 8 juli 2025. Analytiker rapporterar ingen kod- eller beteendeöverlappning med tidigare katalogiserade familjer, vilket tyder på en ny implementering snarare än en variant av en befintlig verktygsuppsättning.

Teknisk profil — språk, version och plattformsoberoende anteckningar

ZynorRAT implementeras i Go, vilket gör att en enda kodbas kan producera binärfiler för flera OS-mål. Linux-versionen är funktionsrik och erbjuder en bred uppsättning funktioner för rekognoscering, datainsamling och fjärrstyrning. En Windows-version har också observerats och verkar funktionellt lik Linux-varianten; den använder dock fortfarande Linux-liknande persistenstekniker (systemd-tjänster), vilket antyder att Windows-artefakten kan vara ofullständig eller under aktiv utveckling.

Funktioner – vad skadlig programvara kan göra

Den skadliga programvarans primära uppdrag är insamling, exfiltrering och fjärråtkomst, där kommando-och-kontroll (C2) hanteras via en Telegram-bot (identifierad som @lraterrorsbot, även känd som 'lrat'). När ZynorRAT väl är driftsatt tar den emot ytterligare instruktioner från den boten och utför uppgifter lokalt på offrets värd. Viktiga Linux-funktioner inkluderar filbläddring och exfiltrering, systemprofilering, processlistor och avslutning, skärmdumpstagning, godtycklig kommandokörning och persistens via systemd.

Observerade kommandoslutpunkter (som implementerade i Linux-versionen):

  • /fs_list — räkna upp kataloger
  • /fs_get — exfiltrera filer från värden
  • /metrics — utför systemprofilering
  • /proc_list — kör motsvarigheten till ps för att lista processer
  • /proc_kill — avslutar en process med PID
  • /capture_display — ta skärmdumpar av skärmen
  • /persist — etablera persistance (systemd-tjänst)

Kommando och kontroll och distribution — hur operatören driver och sprider det

Telegram är ZynorRATs C2-kanal: skadlig programvara checkar in hos @lraterrorsbot-boten och tar emot kommandon över det mediet. Skärmdumpar och andra artefakter som delas via Telegram-boten visar nyttolaster som distribueras via en fildelningstjänst som heter Dosya.co. Analys av dessa skärmdumpar indikerar att författaren kan ha använt maskiner de kontrollerar för att testa eller validera funktionalitet (självinfektion). Att använda en offentlig meddelandeplattform som Telegram som C2 ger användarvänlighet för operatören och en viss grad av operativ flexibilitet, men det skapar också tydliga indikatorer (botanvändare, ovanlig Telegram-trafik) som försvarare kan leta efter.

Attribuering och tidslinje – vad vi rimligen kan dra slutsatser om

Bevis pekar på att aktiviteten började den 8 juli 2025. Språkartefakter i botchattarna och annan återställd text tyder på att operatören kan vara turkisk eller åtminstone använda turkiska språkresurser, och aktuell analys förespråkar en enda, troligen ensam aktör snarare än en grupputvecklingsinsats. Med det sagt bör tillskrivning till en person eller nation förbli försiktig i avvaktan på ytterligare bekräftelse.

Varför detta är viktigt – trender inom nyhet och utveckling av skadlig kod

Även om RAT:er är vanliga är ZynorRAT anmärkningsvärt eftersom det verkar vara en renrumsimplementering (inga överlappningar med kända familjer) som implementerar automatiserade, centraliserade kontroller via Telegram. Dess plattformsoberoende ambitioner och användningen av Go belyser trenden att relativt små operatörer snabbt producerar kapabla verktyg för flera operativsystem. Tidig sofistikering här visar hur snabbt nya RAT:er kan dyka upp och tas i bruk.

Slutbedömning

ZynorRAT representerar ett modernt exempel på en lätt men kapabel RAT byggd för plattformsoberoende driftsättning och hanterad via en standardmeddelandetjänst. Upptäckten understryker att även enskilda operatörer snabbt kan producera flexibla fjärråtkomstverktyg med moderna språk som Go. Organisationer bör behandla Telegram-baserad C2 och oväntad användning av konsumentfildelningstjänster som högprioriterade jaktobjekt, hårdgöra tjänstskapandet på endpoints och tillämpa de begränsningar som anges ovan för att minska exponeringen.

Trendigt

Mest sedda

Läser in...