Logiciel malveillant ZynorRAT
Des chercheurs en cybersécurité ont identifié une nouvelle famille de logiciels malveillants, composée d'un cheval de Troie d'accès à distance (RAT) compilé en Go, baptisé ZynorRAT. L'implant cible les hôtes Linux et Windows, est géré par un bot Telegram et, selon les données disponibles, est apparu pour la première fois le 8 juillet 2025. Les analystes ne signalent aucun chevauchement de code ou de comportement avec les familles précédemment répertoriées, ce qui suggère une nouvelle implémentation plutôt qu'une variante d'un ensemble d'outils existant.
Table des matières
Profil technique — notes sur le langage, la construction et la multiplateforme
ZynorRAT est implémenté en Go, ce qui permet à une seule base de code de produire des binaires pour plusieurs systèmes d'exploitation cibles. La version Linux est riche en fonctionnalités et offre un large éventail de fonctionnalités de reconnaissance, de collecte de données et de contrôle à distance. Une version Windows a également été observée et semble fonctionnellement similaire à la variante Linux ; cependant, elle utilise toujours des techniques de persistance de type Linux (services systemd), ce qui implique que l'artefact Windows pourrait être incomplet ou en cours de développement.
Capacités — ce que le logiciel malveillant peut faire
La mission principale du malware est la collecte, l'exfiltration et l'accès à distance. Le contrôle-commande (C2) est assuré par un bot Telegram (identifié comme @lraterrorsbot, alias « lrat »). Une fois déployé, ZynorRAT reçoit des instructions supplémentaires de ce bot et exécute des tâches localement sur l'hôte victime. Ses principales fonctionnalités sous Linux incluent la navigation et l'exfiltration de fichiers, le profilage système, le listage et l'arrêt des processus, la capture d'écran, l'exécution de commandes arbitraires et la persistance via systemd.
Points de terminaison de commande observés (tels qu'implémentés dans la version Linux) :
- /fs_list — énumérer les répertoires
- /fs_get — exfiltrer les fichiers de l'hôte
- /metrics — effectuer le profilage du système
- /proc_list — exécute l'équivalent de ps pour lister les processus
- /proc_kill — tuer un processus par PID
- /capture_display — prendre des captures d'écran de l'écran
- /persist — établir la persistance (service systemd)
Commandement et contrôle et distribution : comment l’opérateur les gère et les diffuse
Telegram est le canal C2 de ZynorRAT : le malware se connecte au bot @lraterrorsbot et reçoit des commandes via ce canal. Des captures d'écran et autres artefacts partagés via le bot Telegram montrent que les charges utiles sont distribuées via un service de partage de fichiers appelé Dosya.co. L'analyse de ces captures d'écran indique que l'auteur a peut-être utilisé des machines qu'il contrôle pour tester ou valider des fonctionnalités (auto-infection). L'utilisation d'une plateforme de messagerie publique comme Telegram comme C2 offre une simplicité d'utilisation à l'opérateur et une certaine flexibilité opérationnelle, mais elle crée également des indicateurs clairs (identifiant du bot, trafic Telegram inhabituel) que les défenseurs peuvent traquer.
Attribution et chronologie : ce que nous pouvons raisonnablement déduire
Les indices suggèrent une activité ayant débuté le 8 juillet 2025. Des artefacts linguistiques dans les conversations du bot et d'autres textes récupérés suggèrent que l'opérateur pourrait être turc, ou du moins utiliser des ressources en turc. L'analyse actuelle privilégie un acteur unique, probablement isolé, plutôt qu'un effort de développement collectif. Cela dit, l'attribution à une personne ou à une nation doit rester prudente dans l'attente de nouvelles confirmations.
Pourquoi cela est important — nouveautés et tendances en matière de développement de logiciels malveillants
Bien que les RAT soient courants, ZynorRAT se distingue par son implémentation quasi-automatique (sans chevauchement avec les familles connues) qui implémente des contrôles automatisés et centralisés via Telegram. Ses ambitions multiplateformes et l'utilisation de Go illustrent la tendance des opérateurs de taille relativement modeste à produire rapidement des outils multi-OS performants. La sophistication initiale de ces outils montre la rapidité avec laquelle de nouveaux RAT peuvent émerger et être déployés.
Évaluation finale
ZynorRAT est un exemple contemporain de RAT léger mais performant, conçu pour un déploiement multiplateforme et géré via un service de messagerie standard. Sa découverte souligne que même un opérateur isolé peut produire rapidement des outils d'accès à distance flexibles grâce à des langages modernes comme Go. Les organisations doivent traiter le C2 basé sur Telegram et l'utilisation inattendue de services de partage de fichiers grand public comme des éléments de recherche prioritaires, renforcer la création de services sur les terminaux et appliquer les mesures d'atténuation mentionnées ci-dessus pour réduire l'exposition.
