ZynorRAT

Der Remote-Access-Trojaner wurde in Go entwickelt, läuft auf Linux und Windows und wird über einen Telegram-Bot ferngesteuert. Erstmals tauchte ZynorRAT am 8. Juli 2025 auf VirusTotal auf. Seither deuten Funde und Telemetriedaten auf Ursprünge in der Türkei hin.

ZynorRAT ist ein Fernzugriffswerkzeug (RAT), das Angreifern nach einer Erstinfektion eine umfassende Kontrolle über das System ermöglicht, von der Aufklärung über Datei-Diebstahl bis hin zur Ausführung beliebiger Befehle. Der Clou: Das Command-and-Control (C2) läuft über Telegram. So empfängt der Trojaner Anweisungen und sendet Ergebnisse (teils innerhalb einer Minute) zurück an den Bot.

Die Vorgehensweise von ZynorRAT

Nach der Installation verbindet sich die Malware mit dem hinterlegten Telegram-Bot und wartet auf Kommandos. Erkennt ZynorRAT einen bekannten Befehl, etwa zum Auflisten von Dateien, zum Abrufen von Systeminformationen oder zum Erstellen eines Screenshots, führt er ihn aus und meldet das Resultat an den Bot. Alles, was keinem festen Muster entspricht, wird als Shell-Befehl behandelt. Der Angreifer erhält damit die Möglichkeit, unmittelbar Remote-Code auszuführen. Für die Datendiebstahl-Funktion verpackt ZynorRAT angeforderte Dateien und überträgt sie direkt über die Telegram-Schnittstelle.

Was macht die Bedrohung gefährlich?

Die Nutzung einer alltäglichen und bekannten Infrastruktur wie Telegram erschwert einfache Blocklisten und senkt die Einstiegshürde für Täter. Zudem vereint ZynorRAT mehrere Kernfunktionen in einem einzigen Binary: Aufklärung, Exfiltration, Screenshots, Prozesskontrolle und freie Befehlseingabe. VirusTotal-Befunde zeigen, dass die Erkennungsraten sanken, was auf aktive Weiterentwicklung und Evasion-Versuche hindeutet. Hinweise aus der Analyse sprechen dafür, dass der Akteur die Malware kommerziell anbieten will, was meist die schnelle Verbreitung begünstigt.

Mehrere Indizien deuten auf Urheberschaft aus der Türkei hin: Artefakte im Code (u. a. der wiederkehrende Name „halil“), Inhalte aus dem Telegram-Chat des Angreifers und IP-Adressen, die u. a. auf türkische Provider oder Test-Instanzen bei Cloud-Anbietern hindeuten. Die Analyse legt nahe, dass ZynorRAT aktuell von einer Einzelperson entwickelt wird und sich noch in einem frühen Stadium befindet.

Wie Sysdig den Tätern auf die Schliche kam

Beim Reverse Engineering fand das TRT den Bot-Token. Da die Chat-ID nicht vollständig vorlag, fragten die Sicherheitsforscher den Bot über die Telegram-API (getUpdates) im Long-Polling ab, bis nach rund zehn Tagen eine Nachricht aus dem Angreifer-Chat eintraf. Mit Chat-ID und Bot-Token ließen sich anschließend alle bisherigen Nachrichten per Nachrichten-Weiterleitung in einen eigenen Chat einfügen, darunter Befehle wie sudo su und /capture_display sowie Hinweise auf die Verteilung über Dosya.co. Zudem tauchten zahlreiche Test-Artefakte und Cloud-IPs auf, was das frühe Entwicklungsstadium belegen könnte.

So kann man sich schützen:

• IoCs einspielen & Telegram-C2 eindämmen: Hashes prüfen, api.telegram.org im Egress-Monitoring/Blocking berücksichtigen.
• Detektionen aktivieren: Runtime Notable Events + YARA MAL_ZYNOR einschalten und mit bestehenden Richtlinien korrelieren.
• Persistenz & RCE-Spuren entfernen: Ungewöhnliche systemd-User-Services (z. B. system-audio-manager) bereinigen; verdächtige bash -c-Aufrufe alarmieren.
• Netzwerk/DNS härten: Ausgehende Verbindungen zu Telegram kontrollieren; Alerts für atypische DNS-Anfragen aktivieren.
• Hunting nach Artefakten & Verteilwegen: Nach typischen Befehlen/Spuren (z. B. Screenshots, Prozesskontrolle) suchen; File-Sharing-Quellen wie Dosya.co blocken oder eng überwachen.
• Für Sysdig-Kunden: Vorgefertigte Regeln/Policies in Sysdig Secure sofort nutzen.

ZynorRAT zeigt, wie bekannte Kommunikationsplattformen zu verlässlichen C2-Kanälen für Angriffe werden können. Gerade Linux-Workloads geraten verstärkt ins Visier. Laufzeitnahe Erkennung und Netzwerk-Kontrollen sind entscheidend, um Exfiltration und Remote-Befehle früh zu stoppen.

ZynorRAT is a remote access trojan developed in Go that runs on Linux and Windows and is remotely controlled via a Telegram bot. ZynorRAT first appeared on VirusTotal on July 8, 2025. Since then, findings and telemetry data have indicated Turkish origins.

ZynorRAT is a remote access tool that gives attackers comprehensive control over the system after an initial infection. This control ranges from reconnaissance and file theft to executing arbitrary commands. The catch: The command-and-control (C2) operates via Telegram. This allows the Trojan to receive instructions and send results back to the bot in under a minute.

ZynorRAT’s approach

After installation, the malware connects to the stored Telegram bot and waits for commands. If ZynorRAT recognizes a known command, such as listing files, retrieving system information, or taking a screenshot, it executes the command and reports the result to the bot. Anything that does not match a fixed pattern is treated as a shell command. This gives the attacker the ability to execute remote code immediately. For data theft, ZynorRAT packages the requested files and transfers them directly via the Telegram interface.

Why is this threat dangerous?

Using a common and well-known infrastructure like Telegram makes creating simple blocklists more difficult and lowers the entry barrier for perpetrators. Additionally, ZynorRAT consolidates several core functions into one binary, including reconnaissance, exfiltration, screenshots, process control, and free command input. VirusTotal findings indicate active development and evasion attempts, as well as decreased detection rates. Analysis results suggest that the actor intends to sell the malware, which typically leads to rapid dissemination.

Several pieces of evidence point to Turkish authorship: code artifacts (including the recurring name „Halil“), content from the attacker’s Telegram chat, and IP addresses indicating Turkish providers or test instances at cloud providers. The analysis suggests that ZynorRAT is currently being developed by a single individual and is still in the early stages.

How Sysdig Tracked Down the Perpetrators

During the reverse engineering process, the TRT found the bot token. Since the chat ID was incomplete, security researchers queried the bot via the Telegram API (getUpdates) using long polling. After about ten days, a message arrived from the attacker’s chat. With the chat ID and bot token, all previous messages, including commands like sudo su and /capture_display, as well as indications of distribution via Dosya.co, could then be forwarded to a separate chat. In addition, numerous test artifacts and cloud IPs appeared, which could indicate an early development stage.

Here’s how you can protect yourself:

• Implement IoCs and contain Telegram-C2.
• Check hashes and consider adding api.telegram.org to your egress monitoring/blocking list.
• Activate detections. Turn on Runtime Notable Events and YARA MAL_ZYNOR, then correlate them with existing policies.
• Remove persistence and RCE traces. Clean up unusual systemd user services (e.g., system-audio-manager), and alert on suspicious bash -c calls.
• Harden the network and DNS. Monitor outgoing connections to Telegram and activate alerts for atypical DNS queries.
• Hunting for artifacts and distribution paths: Look for typical commands and traces (e.g., screenshots and process control), and block or closely monitor file-sharing sources, such as Dosya.co.
• For Sysdig customers: Use pre-made rules and policies in Sysdig Secure immediately.

ZynorRAT demonstrates how well-known communication platforms can be used as reliable command and control (C2) channels for attacks. Linux workloads are increasingly under attack. Runtime detection and network controls are crucial for stopping exfiltration and remote commands early on.