Sysdig 威脅研究團隊（TRT）近日發現一款新型跨平臺遠程訪問木馬（Remote Access Trojan，RAT），該木馬被命名為 ZynorRAT，采用 Go 語言編寫，可同時攻擊 Linux 和 Windows 系統。雖然仍處于早期開發階段，但 ZynorRAT 已具備傳統 RAT 功能，并通過 Telegram 機器人構建了獨特的命令與控制（C2）基礎設施，為攻擊者提供了強大且用戶友好的遠程控制界面。

惡意軟件特性與傳播

ZynorRAT 于 2025 年 7 月 8 日首次上傳至 VirusTotal 平臺，當時僅被 66 家安全廠商中的 22 家標記為惡意軟件。兩天后，檢測率降至 16/66，表明開發者正積極降低其可檢測性。根據 Telegram 日志、網絡分析和逆向工程證據，Sysdig 評估該惡意軟件源自土耳其，未來可能在地下市場出售。

主要功能與攻擊方式

部署成功后，ZynorRAT 會連接至作為核心 C2 通道的 Telegram 機器人，使攻擊者能夠實時下達指令，受害機器通常在一分鐘內作出響應。其核心功能包括：

• 文件竊取（/fs_get）：檢索并外泄指定文件
• 目錄枚舉（/fs_list）：列出文件與目錄
• 系統信息收集（/metrics）：獲取IP地址、主機名和用戶詳情
• 進程管理（/proc_list、/proc_kill）：枚舉或終止進程
• 屏幕截圖（/capture_display）：利用開源庫截取桌面圖像

Shell命令執行：任何無法識別的命令都將以 bash -c 形式執行，實現完全遠程代碼執行

持久化機制與平臺適配

該惡意軟件通過濫用 systemd 用戶服務實現持久化，創建諸如 system-audio-manager.service 等偽裝條目以實現開機自啟。雖然編譯為 Windows 可執行文件，但 Windows 版本功能尚不完善，仍使用 systemd 命令和 .config 路徑等僅適用于 Linux 的持久化邏輯，表明開發者可能正在測試跨平臺部署方案。

開發者線索與商業化前景

Sysdig 在反編譯樣本和攻擊者截圖中多次發現 "halil" 這個名字，推測可能是開發者昵稱。與 SilentEye 等地下項目類似，ZynorRAT 未來可能被商業化出售。目前發現的主要傳播渠道包括：

• 使用 Telegram 機器人 "lraterrorsbot" 作為主控服務器
• 通過土耳其文件共享服務 Dosya.co 分發樣本
• 測試痕跡顯示開發者曾在谷歌云、微軟 Azure、亞馬遜 EC2 等云平臺及疑似關聯的土耳其 IP 地址運行該惡意軟件

盡管尚未大規模傳播，但 Sysdig 警告稱，一旦開發成熟，這款具備高級功能、靈活 Telegram C2 管理能力且積極規避檢測的惡意軟件很可能很快出現在地下市場。