Phần mềm độc hại ZynorRAT

Các nhà nghiên cứu an ninh mạng đã xác định được một họ phần mềm độc hại mới, bao gồm một trojan truy cập từ xa (RAT) được biên dịch bằng Go có tên là ZynorRAT. Mã độc này nhắm mục tiêu vào cả máy chủ Linux và Windows, được quản lý thông qua bot Telegram, và — dựa trên bằng chứng hiện có — lần đầu tiên xuất hiện vào ngày 8 tháng 7 năm 2025. Các nhà phân tích báo cáo không có mã hoặc hành vi trùng lặp nào với các họ phần mềm đã được phân loại trước đó, cho thấy đây là một triển khai mới chứ không phải là một biến thể của bộ công cụ hiện có.

Hồ sơ kỹ thuật — ngôn ngữ, bản dựng và ghi chú đa nền tảng

ZynorRAT được triển khai bằng ngôn ngữ Go, cho phép một cơ sở mã duy nhất tạo ra các tệp nhị phân cho nhiều mục tiêu hệ điều hành. Bản dựng Linux có nhiều tính năng và cung cấp một loạt các khả năng trinh sát, thu thập dữ liệu và điều khiển từ xa. Một bản dựng Windows cũng đã được quan sát và có vẻ tương tự về mặt chức năng với phiên bản Linux; tuy nhiên, nó vẫn sử dụng các kỹ thuật lưu trữ theo kiểu Linux (dịch vụ systemd), ngụ ý rằng hiện vật Windows có thể chưa hoàn thiện hoặc đang được phát triển tích cực.

Khả năng — những gì phần mềm độc hại có thể làm

Nhiệm vụ chính của phần mềm độc hại này là thu thập, trích xuất và truy cập từ xa, với chức năng Chỉ huy và Kiểm soát (C2) được xử lý thông qua một bot Telegram (được xác định là @lraterrorsbot, hay còn gọi là 'lrat'). Sau khi được triển khai, ZynorRAT nhận thêm chỉ thị từ bot đó và thực hiện các tác vụ cục bộ trên máy chủ nạn nhân. Các khả năng chính của Linux bao gồm duyệt và trích xuất tệp, lập hồ sơ hệ thống, liệt kê và chấm dứt quy trình, chụp ảnh màn hình, thực thi lệnh tùy ý và duy trì hoạt động thông qua systemd.

Điểm cuối lệnh được quan sát (như được triển khai trong bản dựng Linux):

• /fs_list — liệt kê các thư mục
• /fs_get — trích xuất các tập tin từ máy chủ
• /metrics — thực hiện lập hồ sơ hệ thống
• /proc_list — chạy lệnh tương đương với ps để liệt kê các tiến trình
• /proc_kill — giết một tiến trình bằng PID
• /capture_display — chụp ảnh màn hình
• /persist — thiết lập tính bền vững (dịch vụ systemd)

Chỉ huy và kiểm soát và phân phối — cách thức người điều hành vận hành và phân phối nó

Telegram là kênh C2 của ZynorRAT: mã độc này kiểm tra bot @lraterrorsbot và nhận lệnh qua phương tiện này. Ảnh chụp màn hình và các hiện vật khác được chia sẻ qua bot Telegram cho thấy các payload được phân phối thông qua một dịch vụ chia sẻ tệp có tên Dosya.co. Phân tích các ảnh chụp màn hình đó cho thấy tác giả có thể đã sử dụng các máy mà họ kiểm soát để kiểm tra hoặc xác thực chức năng (tự lây nhiễm). Việc sử dụng một nền tảng nhắn tin công cộng như Telegram làm C2 mang lại sự dễ sử dụng cho người điều hành và một mức độ linh hoạt nhất định trong vận hành, nhưng nó cũng tạo ra các chỉ số rõ ràng (tên bot, lưu lượng Telegram bất thường) mà các nhà bảo vệ có thể truy tìm.

Sự quy kết và dòng thời gian — những gì chúng ta có thể suy ra một cách hợp lý

Bằng chứng cho thấy hoạt động này bắt đầu từ ngày 8 tháng 7 năm 2025. Các hiện vật ngôn ngữ trong các cuộc trò chuyện của bot và các văn bản được phục hồi khác cho thấy người điều hành có thể là người Thổ Nhĩ Kỳ hoặc ít nhất là sử dụng các nguồn tài nguyên tiếng Thổ Nhĩ Kỳ, và phân tích hiện tại nghiêng về một tác nhân duy nhất, có khả năng là đơn lẻ hơn là một nỗ lực phát triển nhóm. Tuy nhiên, việc xác định danh tính một cá nhân hoặc quốc gia nên được thận trọng trong khi chờ xác minh thêm.

Tại sao điều này quan trọng — xu hướng mới lạ và phát triển phần mềm độc hại

Mặc dù RAT khá phổ biến, ZynorRAT đáng chú ý vì nó dường như là một triển khai phòng sạch (không trùng lặp với các họ mã độc đã biết) thực hiện các biện pháp kiểm soát tự động, tập trung thông qua Telegram. Tham vọng đa nền tảng và việc sử dụng Go của nó làm nổi bật xu hướng các nhà khai thác tương đối nhỏ đang nhanh chóng tạo ra các công cụ đa hệ điều hành có khả năng hoạt động. Sự tinh vi ở giai đoạn đầu cho thấy các RAT mới có thể xuất hiện và được triển khai nhanh chóng như thế nào.

Đánh giá kết luận

ZynorRAT là một ví dụ điển hình về một RAT nhẹ nhưng mạnh mẽ, được xây dựng để triển khai đa nền tảng và được quản lý thông qua một dịch vụ nhắn tin có sẵn. Phát hiện này nhấn mạnh rằng ngay cả các nhà điều hành đơn lẻ cũng có thể nhanh chóng tạo ra các công cụ truy cập từ xa linh hoạt bằng các ngôn ngữ hiện đại như Go. Các tổ chức nên coi C2 dựa trên Telegram và việc sử dụng bất ngờ các dịch vụ chia sẻ tệp của người dùng là các mục tiêu săn tìm ưu tiên hàng đầu, tăng cường việc tạo dịch vụ trên các điểm cuối và áp dụng các biện pháp giảm thiểu được liệt kê ở trên để giảm thiểu rủi ro.