ZynorRAT Malware
Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong pamilya ng malware, na binubuo ng isang Go-compiled remote access trojan (RAT) na tinatawag na ZynorRAT. Ang implant ay nagta-target sa parehong Linux at Windows host, ay pinamamahalaan sa pamamagitan ng Telegram bot, at — batay sa available na ebidensya — unang lumabas noong Hulyo 8, 2025. Ang mga analyst ay nag-ulat ng walang code o pag-overlap ng pag-uugali sa mga pamilyang naunang nakatala, na nagmumungkahi ng bagong pagpapatupad sa halip na isang variant ng kasalukuyang toolset.
Talaan ng mga Nilalaman
Teknikal na profile — wika, build, at cross-platform na mga tala
Ang ZynorRAT ay ipinatupad sa Go, na nagbibigay-daan sa isang codebase na makabuo ng mga binary para sa maramihang mga target ng OS. Ang Linux build ay mayaman sa tampok at naglalantad ng malawak na hanay ng mga kakayahan para sa reconnaissance, pagkolekta ng data, at remote control. Ang isang Windows build ay naobserbahan din at lumilitaw na gumaganang katulad sa variant ng Linux; gayunpaman, gumagamit pa rin ito ng mga diskarte sa pagtitiyaga sa istilo ng Linux (mga serbisyo ng system), na nagpapahiwatig na ang artifact ng Windows ay maaaring hindi kumpleto o nasa ilalim ng aktibong pag-unlad.
Mga kakayahan — kung ano ang magagawa ng malware
Ang pangunahing misyon ng malware ay koleksyon, exfiltration, at malayuang pag-access, na may Command-and-Control (C2) na pinangangasiwaan sa pamamagitan ng Telegram bot (nakilala bilang @lraterrorsbot, aka 'lrat'). Kapag na-deploy na, makakatanggap ang ZynorRAT ng karagdagang mga tagubilin mula sa bot na iyon at nagsasagawa ng mga gawain nang lokal sa host ng biktima. Kabilang sa mga pangunahing kakayahan ng Linux ang pag-browse at exfiltration ng file, pag-profile ng system, listahan ng proseso at pagwawakas, pagkuha ng screenshot, arbitrary command execution, at pagtitiyaga sa pamamagitan ng systemd.
Naobserbahang mga endpoint ng command (tulad ng ipinatupad sa Linux build):
- /fs_list — magbilang ng mga direktoryo
- /fs_get — i-exfiltrate ang mga file mula sa host
- /metrics — magsagawa ng system profiling
- /proc_list — patakbuhin ang katumbas ng ps para ilista ang mga proseso
- /proc_kill — patayin ang isang proseso sa pamamagitan ng PID
- /capture_display — kumuha ng mga screenshot ng display
- / persist — magtatag ng persistence (systemd service)
Command-and-control at distribution — kung paano ito pinapatakbo at ikinakalat ng operator
Ang Telegram ay ang C2 channel ng ZynorRAT: ang malware ay sumusuri gamit ang @lraterrorsbot bot at tumatanggap ng mga command sa medium na iyon. Ang mga screenshot at iba pang artifact na ibinahagi sa pamamagitan ng Telegram bot ay nagpapakita ng mga payload na ipinamamahagi sa pamamagitan ng serbisyo sa pagbabahagi ng file na tinatawag na Dosya.co. Isinasaad ng pagsusuri sa mga screenshot na iyon na maaaring gumamit ang may-akda ng mga machine na kinokontrol nila upang subukan o patunayan ang functionality (self-infection). Ang paggamit ng isang pampublikong platform ng pagmemensahe tulad ng Telegram bilang C2 ay nagbibigay ng kadalian ng paggamit para sa operator at ilang antas ng kakayahang umangkop sa pagpapatakbo, ngunit lumilikha din ito ng mga malinaw na tagapagpahiwatig (hawakan ng bot, hindi pangkaraniwang trapiko sa Telegram) na maaaring hanapin ng mga tagapagtanggol.
Attribution at timeline — kung ano ang makatwirang mahihinuha natin
Ang mga ebidensya ay tumutukoy sa aktibidad na magsisimula sa Hulyo 8, 2025. Iminumungkahi ng mga artifact ng wika sa mga bot chat at iba pang na-recover na text na ang operator ay maaaring Turkish o hindi bababa sa gumagamit ng mga mapagkukunan ng wikang Turkish, at ang kasalukuyang pagsusuri ay pinapaboran ang isang solong, malamang na nag-iisang aktor sa halip na isang pagsisikap sa pagbuo ng grupo. Ang sabi, ang pagpapatungkol sa isang tao o bansa ay dapat manatiling maingat habang nakabinbin ang karagdagang pagpapatibay.
Bakit ito mahalaga — bago at mga uso sa pagbuo ng malware
Bagama't karaniwan ang mga RAT, kapansin-pansin ang ZynorRAT dahil lumilitaw na ito ay isang pagpapatupad ng malinis na silid (walang overlap sa mga kilalang pamilya) na nagpapatupad ng mga awtomatiko at sentralisadong kontrol sa pamamagitan ng Telegram. Itinatampok ng mga cross-platform na ambisyon nito at ang paggamit ng Go sa trend ng medyo maliliit na operator na mabilis na gumagawa ng may kakayahang multi-OS tooling. Ang maagang yugto ng pagiging sopistikado dito ay nagpapakita kung gaano kabilis ang mga nobelang RAT na maaaring lumitaw at mai-field.
Pangwakas na pagtatasa
Ang ZynorRAT ay kumakatawan sa isang kontemporaryong halimbawa ng isang magaan ngunit may kakayahang RAT na binuo para sa cross-platform deployment at pinamamahalaan sa pamamagitan ng isang off-the-shelf na serbisyo sa pagmemensahe. Ang pagtuklas nito ay binibigyang-diin na kahit na ang mga nag-iisang operator ay makakagawa ng mga flexible na remote access tool nang mabilis gamit ang mga modernong wika tulad ng Go. Dapat ituring ng mga organisasyon ang C2 na nakabase sa Telegram at ang hindi inaasahang paggamit ng mga serbisyo sa pagbabahagi ng file ng consumer bilang mga item sa paghahanap na may mataas na priyoridad, patigasin ang paggawa ng serbisyo sa mga endpoint, at ilapat ang mga pagpapagaan na nakalista sa itaas upang mabawasan ang pagkakalantad.
