Das Threat Research Team (TRT) von Sysdig hat mit ZynorRAT eine neue Malware-Familie identifiziert. Der Remote-Access-Trojaner wurde in Go entwickelt, läuft auf Linux und Windows und wird über einen Telegram-Bot ferngesteuert. Erstmals tauchte ZynorRAT am 8. Juli 2025 auf VirusTotal auf. Seither deuten Funde und Telemetriedaten auf Ursprünge in der Türkei hin.
ZynorRAT ist ein Fernzugriffswerkzeug (RAT), das Angreifern nach einer Erstinfektion eine umfassende Kontrolle über das System ermöglicht, von der Aufklärung über Datei-Diebstahl bis hin zur Ausführung beliebiger Befehle. Der Clou: Das Command-and-Control (C2) läuft über Telegram. So empfängt der Trojaner Anweisungen und sendet Ergebnisse (teils innerhalb einer Minute) zurück an den Bot.
Die Vorgehensweise von ZynorRAT
Nach der Installation verbindet sich die Malware mit dem hinterlegten Telegram-Bot und wartet auf Kommandos. Erkennt ZynorRAT einen bekannten Befehl, etwa zum Auflisten von Dateien, zum Abrufen von Systeminformationen oder zum Erstellen eines Screenshots, führt er ihn aus und meldet das Resultat an den Bot.
Alles, was keinem festen Muster entspricht, wird als Shell-Befehl behandelt. Der Angreifer erhält damit die Möglichkeit, unmittelbar Remote-Code auszuführen. Für die Datendiebstahl-Funktion verpackt ZynorRAT angeforderte Dateien und überträgt sie direkt über die Telegram-Schnittstelle.
Was macht die Bedrohung gefährlich?
Die Nutzung einer alltäglichen und bekannten Infrastruktur wie Telegram erschwert einfache Blocklisten und senkt die Einstiegshürde für Täter. Zudem vereint ZynorRAT mehrere Kernfunktionen in einem einzigen Binary: Aufklärung, Exfiltration, Screenshots, Prozesskontrolle und freie Befehlseingabe.
VirusTotal-Befunde zeigen, dass die Erkennungsraten sanken, was auf aktive Weiterentwicklung und Evasion-Versuche hindeutet. Hinweise aus der Analyse sprechen dafür, dass der Akteur die Malware kommerziell anbieten will, was meist die schnelle Verbreitung begünstigt.
Mehrere Indizien deuten auf Urheberschaft aus der Türkei hin: Artefakte im Code (u. a. der wiederkehrende Name „halil“), Inhalte aus dem Telegram-Chat des Angreifers und IP-Adressen, die u. a. auf türkische Provider oder Test-Instanzen bei Cloud-Anbietern hindeuten. Die Analyse legt nahe, dass ZynorRAT aktuell von einer Einzelperson entwickelt wird und sich noch in einem frühen Stadium befindet.
Wie Sysdig den Tätern auf die Schliche kam
Beim Reverse Engineering fand das TRT den Bot-Token. Da die Chat-ID nicht vollständig vorlag, fragten die Sicherheitsforscher den Bot über die Telegram-API (getUpdates) im Long-Polling ab, bis nach rund zehn Tagen eine Nachricht aus dem Angreifer-Chat eintraf.
Mit Chat-ID und Bot-Token ließen sich anschließend alle bisherigen Nachrichten per Nachrichten-Weiterleitung in einen eigenen Chat einfügen, darunter Befehle wie sudo su und /capture_display sowie Hinweise auf die Verteilung über Dosya.co. Zudem tauchten zahlreiche Test-Artefakte und Cloud-IPs auf, was das frühe Entwicklungsstadium belegen könnte.
So kann man sich schützen:
- IoCs einspielen & Telegram-C2 eindämmen: Hashes prüfen, api.telegram.org im Egress-Monitoring/Blocking berücksichtigen.
- Detektionen aktivieren: Runtime Notable Events + YARA MAL_ZYNOR einschalten und mit bestehenden Richtlinien korrelieren.
- Persistenz & RCE-Spuren entfernen: Ungewöhnliche systemd-User-Services (z. B. system-audio-manager) bereinigen; verdächtige bash -c-Aufrufe alarmieren.
- Netzwerk/DNS härten: Ausgehende Verbindungen zu Telegram kontrollieren; Alerts für atypische DNS-Anfragen aktivieren.
- Hunting nach Artefakten & Verteilwegen: Nach typischen Befehlen/Spuren (z. B. Screenshots, Prozesskontrolle) suchen; File-Sharing-Quellen wie Dosya.co blocken oder eng überwachen.
- Für Sysdig-Kunden: Vorgefertigte Regeln/Policies in Sysdig Secure sofort nutzen.
ZynorRAT zeigt, wie bekannte Kommunikationsplattformen zu verlässlichen C2-Kanälen für Angriffe werden können. Gerade Linux-Workloads geraten verstärkt ins Visier. Laufzeitnahe Erkennung und Netzwerk-Kontrollen sind entscheidend, um Exfiltration und Remote-Befehle früh zu stoppen.