内容摘要：Sysdig 威胁研究团队TRT）近日发现一款新型跨平台远程访问木马Remote Access Trojan，RAT），该木马被命名为 ZynorRAT，采用 Go 语言编写，可同时攻击 Linux

Sysdig 威胁研究团队（TRT）近日发现一款新型跨平台远程访问木马（Remote Access Trojan ，新型RAT） ，跨平m控该木马被命名为 ZynorRAT，台恶T通采用 Go 语言编写，意软远程可同时攻击 Linux 和 Windows 系统 。访问虽然仍处于早期开发阶段，木马但 ZynorRAT 已具备传统 RAT 功能，新型并通过 Telegram 机器人构建了独特的跨平m控命令与控制（C2）基础设施  ，亿华云为攻击者提供了强大且用户友好的台恶T通远程控制界面
。

恶意软件特性与传播

ZynorRAT 于 2025 年 7 月 8 日首次上传至 VirusTotal 平台 ，意软远程当时仅被 66 家安全厂商中的访问 22 家标记为恶意软件。两天后，木马检测率降至 16/66 ，新型表明开发者正积极降低其可检测性。香港云服务器跨平m控根据 Telegram 日志 、台恶T通网络分析和逆向工程证据 ，Sysdig 评估该恶意软件源自土耳其，未来可能在地下市场出售 。

主要功能与攻击方式

部署成功后  ，ZynorRAT 会连接至作为核心 C2 通道的 Telegram 机器人，使攻击者能够实时下达指令，建站模板受害机器通常在一分钟内作出响应 。其核心功能包括 ：

文件窃取（/fs_get）
：检索并外泄指定文件目录枚举（/fs_list）：列出文件与目录系统信息收集（/metrics）：获取IP地址、主机名和用户详情进程管理（/proc_list、/proc_kill）
：枚举或终止进程屏幕截图（/capture_display）：利用开源库截取桌面图像

Shell命令执行 ：任何无法识别的命令都将以 bash -c 形式执行，实现完全远程代码执行

持久化机制与平台适配

该恶意软件通过滥用 systemd 用户服务实现持久化，创建诸如 system-audio-manager.service 等伪装条目以实现开机自启
。虽然编译为 Windows 可执行文件，服务器租用但 Windows 版本功能尚不完善，仍使用 systemd 命令和 .config 路径等仅适用于 Linux 的持久化逻辑，表明开发者可能正在测试跨平台部署方案
 。

开发者线索与商业化前景

Sysdig 在反编译样本和攻击者截图中多次发现 "halil" 这个名字 ，推测可能是开发者昵称。与 SilentEye 等地下项目类似
 ，高防服务器ZynorRAT 未来可能被商业化出售。目前发现的主要传播渠道包括：

使用 Telegram 机器人 "lraterrorsbot" 作为主控服务器通过土耳其文件共享服务 Dosya.co 分发样本测试痕迹显示开发者曾在谷歌云 、微软 Azure、亚马逊 EC2 等云平台及疑似关联的土耳其 IP 地址运行该恶意软件

尽管尚未大规模传播，但 Sysdig 警告称，一旦开发成熟，云计算这款具备高级功能、灵活 Telegram C2 管理能力且积极规避检测的恶意软件很可能很快出现在地下市场。