Sysdig 威脅研究團(tuán)隊(duì)（TRT）近日發(fā)現(xiàn)一款新型跨平臺(tái)遠(yuǎn)程訪問(wèn)木馬（Remote Access Trojan，RAT），該木馬被命名為 ZynorRAT，采用 Go 語(yǔ)言編寫(xiě)，可同時(shí)攻擊 Linux 和 Windows 系統(tǒng)。雖然仍處于早期開(kāi)發(fā)階段，但 ZynorRAT 已具備傳統(tǒng) RAT 功能，并通過(guò) Telegram 機(jī)器人構(gòu)建了獨(dú)特的命令與控制（C2）基礎(chǔ)設(shè)施，為攻擊者提供了強(qiáng)大且用戶友好的遠(yuǎn)程控制界面。

惡意軟件特性與傳播

ZynorRAT 于 2025 年 7 月 8 日首次上傳至 VirusTotal 平臺(tái)，當(dāng)時(shí)僅被 66 家安全廠商中的 22 家標(biāo)記為惡意軟件。兩天后，檢測(cè)率降至 16/66，表明開(kāi)發(fā)者正積極降低其可檢測(cè)性。根據(jù) Telegram 日志、網(wǎng)絡(luò)分析和逆向工程證據(jù)，Sysdig 評(píng)估該惡意軟件源自土耳其，未來(lái)可能在地下市場(chǎng)出售。

主要功能與攻擊方式

部署成功后，ZynorRAT 會(huì)連接至作為核心 C2 通道的 Telegram 機(jī)器人，使攻擊者能夠?qū)崟r(shí)下達(dá)指令，受害機(jī)器通常在一分鐘內(nèi)作出響應(yīng)。其核心功能包括：

• 文件竊?。?fs_get）：檢索并外泄指定文件
• 目錄枚舉（/fs_list）：列出文件與目錄
• 系統(tǒng)信息收集（/metrics）：獲取IP地址、主機(jī)名和用戶詳情
• 進(jìn)程管理（/proc_list、/proc_kill）：枚舉或終止進(jìn)程
• 屏幕截圖（/capture_display）：利用開(kāi)源庫(kù)截取桌面圖像

Shell命令執(zhí)行：任何無(wú)法識(shí)別的命令都將以 bash -c 形式執(zhí)行，實(shí)現(xiàn)完全遠(yuǎn)程代碼執(zhí)行

持久化機(jī)制與平臺(tái)適配

該惡意軟件通過(guò)濫用 systemd 用戶服務(wù)實(shí)現(xiàn)持久化，創(chuàng)建諸如 system-audio-manager.service 等偽裝條目以實(shí)現(xiàn)開(kāi)機(jī)自啟。雖然編譯為 Windows 可執(zhí)行文件，但 Windows 版本功能尚不完善，仍使用 systemd 命令和 .config 路徑等僅適用于 Linux 的持久化邏輯，表明開(kāi)發(fā)者可能正在測(cè)試跨平臺(tái)部署方案。

開(kāi)發(fā)者線索與商業(yè)化前景

Sysdig 在反編譯樣本和攻擊者截圖中多次發(fā)現(xiàn) "halil" 這個(gè)名字，推測(cè)可能是開(kāi)發(fā)者昵稱。與 SilentEye 等地下項(xiàng)目類(lèi)似，ZynorRAT 未來(lái)可能被商業(yè)化出售。目前發(fā)現(xiàn)的主要傳播渠道包括：

• 使用 Telegram 機(jī)器人 "lraterrorsbot" 作為主控服務(wù)器
• 通過(guò)土耳其文件共享服務(wù) Dosya.co 分發(fā)樣本
• 測(cè)試痕跡顯示開(kāi)發(fā)者曾在谷歌云、微軟 Azure、亞馬遜 EC2 等云平臺(tái)及疑似關(guān)聯(lián)的土耳其 IP 地址運(yùn)行該惡意軟件

盡管尚未大規(guī)模傳播，但 Sysdig 警告稱，一旦開(kāi)發(fā)成熟，這款具備高級(jí)功能、靈活 Telegram C2 管理能力且積極規(guī)避檢測(cè)的惡意軟件很可能很快出現(xiàn)在地下市場(chǎng)。