一种名为 ZynorRAT 的复杂新型远程访问木马已成为跨平台威胁，通过基于 Telegram 的创新命令和控制基础设施针对 Windows 和 Linux 系统。

这种 Go 编译的恶意软件于 2025 年 7 月首次发现，代表了远程访问功能的重大进步，它将传统 RAT 功能与现代通信渠道相结合，以逃避检测并保持对受感染系统的持续访问。

该恶意软件的攻击方法表现出了非凡的多功能性，利用 Telegram 机器人作为受感染机器和威胁行为者之间的主要通信媒介。

这种方法允许攻击者通过与合法流量无缝融合的加密消息通道发出命令、窃取数据并监控受害者系统。

流行的消息传递平台被用于恶意目的反映了网络威胁不断演变的态势，传统的网络监控可能无法检测到可疑通信。

ZynorRAT 的多平台设计使威胁行为者能够破坏从企业 Linux 服务器到 Windows 工作站的各种计算环境，从而在异构网络中创建统一的攻击面。

ZynorRAT 的 Windows 版本（来源 – Sysdig）

Sysdig 研究人员在例行威胁搜寻演习中发现了该恶意软件，并注意到其独特的实施模式和跨平台兼容性，使其有别于现有的 RAT 家族。

该恶意软件的发现时间线揭示了正在进行的开发工作，上传到 VirusTotal 的多个样本显示检测率正在下降，这表明其创建者正在积极改进规避措施。

从受监控的Telegram频道收集到的情报表明，该恶意软件很可能是由讲土耳其语的人员开发的，有证据表明，一名名为“halil”的开发人员可能正在准备将该工具在地下市场进行商业分发。

高级持久性和命令执行机制

ZynorRAT 实现了因目标平台而异的复杂持久性技术，展示了开发人员对不同操作系统的系统管理实践的理解。

在 Linux 系统上，该恶意软件通过位于 ~/.config/systemd/user/system-audio-manager[.]service 的精心设计的服务定义文件利用 systemd 用户服务。

这种方法利用了用户特定的服务管理功能，而这些功能通常无法被传统的安全监控工具检测到。

[Unit]
Description=System Audio Core Service
After=network.target
[Service]
ExecStart=/home/user/.local/bin/audio
Restart=always
RestartSec=10
[Install]
WantedBy=default.target

持久机制会在终止时每 10 秒自动重新启动恶意软件进程，确保持续访问受感染的系统。

命令执行功能不仅限于简单的 shell 访问，还包括通过/fs_list命令进行文件系统枚举、通过/proc_list和函数进行进程管理、以及通过查询 api.ipify.org 收集主机名、用户信息和外部 IP 地址的命令/proc_kill进行全面的系统分析。/metrics

这些功能将受感染的机器转变为全面的情报收集平台，为攻击者提供横向移动和数据泄露操作所需的详细环境意识。