Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware ZynorRAT-Malware

ZynorRAT-Malware

Von Mezo in Malware, Tools zur Remoteverwaltung
Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue Malware-Familie identifiziert, die aus einem Go-kompilierten Remote-Access-Trojaner (RAT) namens ZynorRAT besteht. Das Implantat zielt sowohl auf Linux- als auch auf Windows-Hosts ab, wird über einen Telegram-Bot verwaltet und tauchte – basierend auf verfügbaren Beweisen – erstmals am 8. Juli 2025 auf. Analysten berichten von keinen Code- oder Verhaltensüberschneidungen mit zuvor katalogisierten Familien, was eher auf eine neue Implementierung als auf eine Variante eines bestehenden Toolsets hindeutet.

Technisches Profil – Hinweise zu Sprache, Build und plattformübergreifender Nutzung

ZynorRAT ist in Go implementiert, wodurch eine einzige Codebasis Binärdateien für mehrere Betriebssysteme erstellen kann. Die Linux-Version ist funktionsreich und bietet umfassende Möglichkeiten zur Aufklärung, Datenerfassung und Fernsteuerung. Es wurde auch eine Windows-Version beobachtet, die funktional der Linux-Variante ähnelt. Sie verwendet jedoch weiterhin Persistenztechniken im Linux-Stil (systemd-Dienste). Dies deutet darauf hin, dass die Windows-Version möglicherweise unvollständig ist oder sich in der aktiven Entwicklung befindet.

Fähigkeiten – was die Malware kann

Die Hauptaufgabe der Malware besteht in der Datensammlung, Datenexfiltration und dem Fernzugriff. Command-and-Control (C2) wird über einen Telegram-Bot (identifiziert als @lraterrorsbot, auch bekannt als „lrat“) abgewickelt. Nach der Implementierung erhält ZynorRAT weitere Anweisungen von diesem Bot und führt Aufgaben lokal auf dem Host des Opfers aus. Zu den wichtigsten Linux-Funktionen gehören das Durchsuchen und Exfiltrieren von Dateien, Systemprofiling, Prozessauflistung und -beendigung, Screenshot-Erfassung, die Ausführung beliebiger Befehle und die Persistenz über systemd.

Beobachtete Befehlsendpunkte (wie im Linux-Build implementiert):

  • /fs_list – Verzeichnisse aufzählen
  • /fs_get – Dateien vom Host exfiltrieren
  • /metrics – Systemprofilierung durchführen
  • /proc_list – führt das Äquivalent von ps aus, um Prozesse aufzulisten
  • /proc_kill – Beenden Sie einen Prozess per PID
  • /capture_display – Screenshots des Displays machen
  • /persist – Persistenz herstellen (systemd-Dienst)

Befehls- und Kontrollsystem und Verteilung – wie der Betreiber es betreibt und verbreitet

Telegram ist ZynorRATs C2-Kanal: Die Malware meldet sich beim Bot @lraterrorsbot an und empfängt über dieses Medium Befehle. Screenshots und andere über den Telegram-Bot geteilte Artefakte zeigen, dass Payloads über einen Filesharing-Dienst namens Dosya.co verbreitet werden. Die Analyse dieser Screenshots deutet darauf hin, dass der Autor möglicherweise von ihm kontrollierte Rechner zum Testen oder Validieren der Funktionalität (Selbstinfektion) verwendet hat. Die Nutzung einer öffentlichen Messaging-Plattform wie Telegram als C2 bietet dem Betreiber Benutzerfreundlichkeit und ein gewisses Maß an operativer Flexibilität, liefert aber auch klare Indikatoren (Bot-Handle, ungewöhnlicher Telegram-Verkehr), nach denen Verteidiger suchen können.

Zuordnung und Zeitleiste – was wir vernünftigerweise schlussfolgern können

Hinweise deuten auf Aktivitäten ab dem 8. Juli 2025 hin. Sprachliche Artefakte in den Bot-Chats und anderen wiederhergestellten Texten legen nahe, dass der Betreiber türkisch sein könnte oder zumindest türkischsprachige Ressourcen nutzt. Aktuelle Analysen sprechen eher für einen einzelnen, wahrscheinlich allein agierenden Akteur als für eine Gruppenentwicklung. Dennoch sollte die Zuordnung zu einer Person oder Nation bis zur weiteren Bestätigung vorsichtig bleiben.

Warum das wichtig ist – Neuheiten und Trends bei der Malware-Entwicklung

Obwohl RATs weit verbreitet sind, ist ZynorRAT bemerkenswert, da es sich um eine Clean-Room-Implementierung (ohne Überschneidungen mit bekannten Familien) handelt, die automatisierte, zentralisierte Steuerungen über Telegram implementiert. Seine plattformübergreifenden Ambitionen und die Verwendung von Go unterstreichen den Trend, dass relativ kleine Betreiber schnell leistungsfähige Multi-OS-Tools entwickeln. Die frühe Entwicklungsphase zeigt, wie schnell neue RATs entstehen und eingesetzt werden können.

Abschließende Bewertung

ZynorRAT ist ein aktuelles Beispiel für ein leichtes, aber leistungsfähiges RAT, das plattformübergreifend eingesetzt und über einen handelsüblichen Messaging-Dienst verwaltet wird. Seine Entdeckung unterstreicht, dass selbst einzelne Betreiber mithilfe moderner Programmiersprachen wie Go schnell flexible Remote-Access-Tools entwickeln können. Unternehmen sollten Telegram-basierte C2-Angriffe und die unerwartete Nutzung von Filesharing-Diensten für Verbraucher als vorrangige Suchobjekte behandeln, die Diensterstellung auf Endpunkten härten und die oben genannten Maßnahmen ergreifen, um die Gefährdung zu verringern.

Im Trend

Am häufigsten gesehen

Wird geladen...