Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware ZynorRAT

Malware ZynorRAT

Por Mezo en Software malicioso, Herramientas de administración remota
Traducir a:

Investigadores de ciberseguridad han identificado una nueva familia de malware, compuesta por un troyano de acceso remoto (RAT) compilado en Go y denominado ZynorRAT. El implante ataca tanto a hosts Linux como Windows, se administra mediante un bot de Telegram y, según la evidencia disponible, apareció por primera vez el 8 de julio de 2025. Los analistas no reportan superposición de código ni comportamiento con familias previamente catalogadas, lo que sugiere una nueva implementación en lugar de una variante de un conjunto de herramientas existente.

Perfil técnico: notas sobre el lenguaje, la compilación y la multiplataforma

ZynorRAT está implementado en Go, lo que permite que una única base de código genere binarios para múltiples sistemas operativos. La compilación para Linux cuenta con numerosas funciones y ofrece un amplio conjunto de capacidades de reconocimiento, recopilación de datos y control remoto. También se ha observado una compilación para Windows que parece funcionalmente similar a la variante para Linux; sin embargo, aún utiliza técnicas de persistencia similares a las de Linux (servicios systemd), lo que sugiere que el artefacto para Windows podría estar incompleto o en desarrollo.

Capacidades: lo que puede hacer el malware

La misión principal del malware es la recolección, exfiltración y acceso remoto. El Comando y Control (C2) se gestiona mediante un bot de Telegram (identificado como @lraterrorsbot, también conocido como «lrat»). Una vez implementado, ZynorRAT recibe instrucciones adicionales de dicho bot y realiza tareas localmente en el host de la víctima. Entre sus funciones clave de Linux se incluyen la exploración y exfiltración de archivos, la creación de perfiles del sistema, el listado y la terminación de procesos, la captura de pantalla, la ejecución de comandos arbitrarios y la persistencia mediante systemd.

Puntos finales de comando observados (tal como se implementaron en la compilación de Linux):

  • /fs_list — enumerar directorios
  • /fs_get — exfiltrar archivos del host
  • /metrics — realizar perfiles del sistema
  • /proc_list — ejecuta el equivalente de ps para enumerar procesos
  • /proc_kill — matar un proceso por PID
  • /capture_display — toma capturas de pantalla de la pantalla
  • /persist — establecer persistencia (servicio systemd)

Comando y control y distribución: cómo el operador lo ejecuta y lo distribuye

Telegram es el canal C2 de ZynorRAT: el malware se conecta con el bot @lraterrorsbot y recibe comandos a través de él. Capturas de pantalla y otros artefactos compartidos a través del bot de Telegram muestran cargas útiles que se distribuyen mediante un servicio de intercambio de archivos llamado Dosya.co. El análisis de dichas capturas de pantalla indica que el autor podría haber utilizado máquinas que controla para probar o validar su funcionalidad (autoinfección). Usar una plataforma de mensajería pública como Telegram como C2 facilita el uso del operador y ofrece cierta flexibilidad operativa, además de generar indicadores claros (identificador del bot, tráfico inusual en Telegram) que los defensores pueden detectar.

Atribución y cronología: lo que podemos inferir razonablemente

La evidencia apunta a actividad a partir del 8 de julio de 2025. Los artefactos lingüísticos en los chats del bot y otros textos recuperados sugieren que el operador podría ser turco o, al menos, usar recursos en turco. El análisis actual favorece a un solo actor, probablemente solitario, en lugar de un proyecto de desarrollo colectivo. Dicho esto, la atribución a una persona o nación debe ser cautelosa a la espera de mayor corroboración.

Por qué esto es importante: novedades y tendencias en el desarrollo de malware

Aunque las RAT son comunes, ZynorRAT destaca por ser una implementación de sala limpia (sin solapamientos con familias conocidas) que implementa controles automatizados y centralizados a través de Telegram. Su ambición multiplataforma y el uso de Go resaltan la tendencia de operadores relativamente pequeños a producir rápidamente herramientas multisistema operativo capaces. Su sofisticación en las etapas iniciales demuestra la rapidez con la que pueden surgir y desplegarse nuevas RAT.

Evaluación final

ZynorRAT representa un ejemplo contemporáneo de un RAT ligero pero eficaz, diseñado para su implementación multiplataforma y gestionado mediante un servicio de mensajería estándar. Su descubrimiento subraya que incluso operadores individuales pueden crear rápidamente herramientas flexibles de acceso remoto utilizando lenguajes modernos como Go. Las organizaciones deben priorizar el C2 basado en Telegram y el uso inesperado de servicios de intercambio de archivos, reforzar la creación de servicios en los endpoints y aplicar las medidas de mitigación mencionadas anteriormente para reducir la exposición.

Tendencias

Mas Visto

Cargando...