ZynorRAT Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, ZynorRAT olarak adlandırılan Go tabanlı bir uzaktan erişim trojanından (RAT) oluşan yeni bir kötü amaçlı yazılım ailesi tespit etti. Bu yazılım hem Linux hem de Windows ana bilgisayarlarını hedefliyor, bir Telegram botu aracılığıyla yönetiliyor ve mevcut kanıtlara göre ilk olarak 8 Temmuz 2025'te ortaya çıktı. Analistler, daha önce kataloglanmış ailelerle herhangi bir kod veya davranışsal örtüşme olmadığını bildiriyor; bu da mevcut bir araç setinin bir çeşidi yerine yeni bir uygulamaya işaret ediyor.
İçindekiler
Teknik profil — dil, yapı ve platformlar arası notlar
ZynorRAT, Go'da uygulanmıştır ve tek bir kod tabanının birden fazla işletim sistemi hedefi için ikili dosyalar üretmesine olanak tanır. Linux sürümü özellik açısından zengindir ve keşif, veri toplama ve uzaktan kontrol için geniş bir yetenek yelpazesi sunar. Bir Windows sürümü de gözlemlenmiştir ve işlevsel olarak Linux sürümüne benzer görünmektedir; ancak yine de Linux tarzı kalıcılık teknikleri (systemd hizmetleri) kullanmaktadır; bu da Windows yapısının eksik veya aktif geliştirme aşamasında olabileceği anlamına gelir.
Yetenekler — kötü amaçlı yazılımın yapabilecekleri
Kötü amaçlı yazılımın temel görevi, Komuta ve Kontrol (C2) işlevi bir Telegram botu (bilinen adıyla @lraterrorsbot, nam-ı diğer 'lrat') aracılığıyla toplanan verileri toplamak, sızdırmak ve uzaktan erişim sağlamaktır. ZynorRAT, dağıtıldıktan sonra bu bottan ek talimatlar alır ve görevleri yerel olarak kurban bilgisayarında gerçekleştirir. Linux'un temel yetenekleri arasında dosya tarama ve sızdırma, sistem profili oluşturma, işlem listeleme ve sonlandırma, ekran görüntüsü yakalama, keyfi komut yürütme ve systemd aracılığıyla kalıcılık bulunur.
Gözlemlenen komut uç noktaları (Linux derlemesinde uygulandığı gibi):
- /fs_list — dizinleri numaralandır
- /fs_get — dosyaları ana bilgisayardan sızdır
- /metrics — sistem profili oluşturma
- /proc_list — süreçleri listelemek için ps'ye eşdeğer bir komut çalıştırır
- /proc_kill — bir işlemi PID ile sonlandır
- /capture_display — ekranın ekran görüntülerini al
- /persist — kalıcılığı sağla (systemd hizmeti)
Komuta ve kontrol ve dağıtım — operatörün bunu nasıl çalıştırdığı ve yaydığı
Telegram, ZynorRAT'ın C2 kanalıdır: kötü amaçlı yazılım, @lraterrorsbot botuyla bağlantı kurar ve bu ortam üzerinden komutlar alır. Telegram botu aracılığıyla paylaşılan ekran görüntüleri ve diğer veriler, yüklerin Dosya.co adlı bir dosya paylaşım hizmeti aracılığıyla dağıtıldığını göstermektedir. Bu ekran görüntülerinin analizi, saldırganın işlevselliği test etmek veya doğrulamak için kontrol ettiği makineleri kullanmış olabileceğini (kendi kendine bulaşma) göstermektedir. Telegram gibi herkese açık bir mesajlaşma platformunu C2 olarak kullanmak, operatör için kullanım kolaylığı ve belirli bir düzeyde operasyonel esneklik sağlarken, aynı zamanda saldırganların arayabileceği net göstergeler (bot adresi, alışılmadık Telegram trafiği) de oluşturur.
Atıf ve zaman çizelgesi — makul bir şekilde çıkarabileceğimiz şey
Kanıtlar, faaliyetin 8 Temmuz 2025'te başladığını gösteriyor. Bot sohbetlerindeki ve diğer kurtarılan metinlerdeki dil kalıntıları, operatörün Türk olabileceğini veya en azından Türkçe kaynaklar kullandığını gösteriyor. Mevcut analizler ise, grup halinde bir geliştirme çabasından ziyade tek bir aktörün varlığını destekliyor. Bununla birlikte, daha fazla doğrulama gelene kadar bir kişiye veya ulusa atıf yaparken dikkatli olunmalıdır.
Bunun önemi nedir? Yenilik ve kötü amaçlı yazılım geliştirme trendleri
RAT'ler yaygın olsa da, ZynorRAT, Telegram üzerinden otomatik ve merkezi kontroller uygulayan temiz oda uygulaması (bilinen ailelerle örtüşme yok) olması nedeniyle dikkat çekicidir. Platformlar arası hedefleri ve Go kullanımı, nispeten küçük operatörlerin hızlı bir şekilde yetenekli çoklu işletim sistemi araçları üretme eğilimini vurgulamaktadır. Buradaki erken aşama gelişmişliği, yeni RAT'lerin ne kadar hızlı ortaya çıkıp kullanıma sunulabileceğini göstermektedir.
Sonuç değerlendirmesi
ZynorRAT, platformlar arası dağıtım için tasarlanmış ve hazır bir mesajlaşma hizmeti aracılığıyla yönetilen, hafif ancak yetenekli bir RAT'ın çağdaş bir örneğini temsil ediyor. Keşfi, tek operatörlerin bile Go gibi modern dilleri kullanarak esnek uzaktan erişim araçlarını hızla üretebileceğinin altını çiziyor. Kuruluşlar, Telegram tabanlı C2 ve tüketici dosya paylaşım hizmetlerinin beklenmedik kullanımını yüksek öncelikli arama öğeleri olarak ele almalı, uç noktalarda hizmet oluşturmayı güçlendirmeli ve maruziyeti azaltmak için yukarıda listelenen önlemleri uygulamalıdır.
