新型跨平台恶意软件 ZynorRAT：通过 Telegram 控制的远程访问木马

Sysdig 威胁研究团队（TRT）近日发现一款新型跨平台远程访问木马（Remote Access Trojan ，新型RAT） ，跨平m控该木马被命名为 ZynorRAT，台恶T通采用 Go 语言编写，意软远程可同时攻击 Linux 和 Windows 系统。访问虽然仍处于早期开发阶段，木马但 ZynorRAT 已具备传统 RAT 功能
，新型并通过 Telegram 机器人构建了独特的跨平m控命令与控制（C2）基础设施，香港云服务器为攻击者提供了强大且用户友好的台恶T通远程控制界面 
。

恶意软件特性与传播

ZynorRAT 于 2025 年 7 月 8 日首次上传至 VirusTotal 平台，意软远程当时仅被 66 家安全厂商中的访问 22 家标记为恶意软件。两天后，木马检测率降至 16/66，新型表明开发者正积极降低其可检测性。模板下载跨平m控根据 Telegram 日志 、台恶T通网络分析和逆向工程证据 ，Sysdig 评估该恶意软件源自土耳其 ，未来可能在地下市场出售。

主要功能与攻击方式

部署成功后
，ZynorRAT 会连接至作为核心 C2 通道的 Telegram 机器人，使攻击者能够实时下达指令 ，免费模板受害机器通常在一分钟内作出响应。其核心功能包括：

文件窃取（/fs_get）
：检索并外泄指定文件目录枚举（/fs_list）：列出文件与目录系统信息收集（/metrics） ：获取IP地址 、主机名和用户详情进程管理（/proc_list、/proc_kill）
：枚举或终止进程屏幕截图（/capture_display）：利用开源库截取桌面图像

Shell命令执行：任何无法识别的命令都将以 bash -c 形式执行 ，实现完全远程代码执行

持久化机制与平台适配

该恶意软件通过滥用 systemd 用户服务实现持久化，创建诸如 system-audio-manager.service 等伪装条目以实现开机自启 。虽然编译为 Windows 可执行文件 ，源码下载但 Windows 版本功能尚不完善，仍使用 systemd 命令和 .config 路径等仅适用于 Linux 的持久化逻辑，表明开发者可能正在测试跨平台部署方案 。

开发者线索与商业化前景

Sysdig 在反编译样本和攻击者截图中多次发现 "halil" 这个名字 ，推测可能是开发者昵称 。与 SilentEye 等地下项目类似，亿华云ZynorRAT 未来可能被商业化出售 。目前发现的主要传播渠道包括：

使用 Telegram 机器人 "lraterrorsbot" 作为主控服务器通过土耳其文件共享服务 Dosya.co 分发样本测试痕迹显示开发者曾在谷歌云、微软 Azure 
、亚马逊 EC2 等云平台及疑似关联的土耳其 IP 地址运行该恶意软件

尽管尚未大规模传播 ，但 Sysdig 警告称  ，一旦开发成熟，服务器租用这款具备高级功能、灵活 Telegram C2 管理能力且积极规避检测的恶意软件很可能很快出现在地下市场。