ZynorRAT: Neue Malware bedroht Windows und Linux

Ein neuer, hochentwickelter Remote-Access-Trojaner namens ZynorRAT greift gezielt Windows- und Linux-Systeme an. Die plattformübergreifende Schadsoftware nutzt den Messenger-Dienst Telegram als Kommando-und-Kontroll-Infrastruktur – eine Strategie, die es ermöglicht, sich als normaler Netzwerkverkehr zu tarnen.

Entdeckt wurde die Malware vom Sysdig Threat Research Team bei routinemäßigen Bedrohungsanalysen. Besonders alarmierend: ZynorRAT zeigt kaum Überschneidungen mit bekannten Schädlingsfamilien und stellt damit eine völlig neue Bedrohung dar.

Erstmals auf der Malware-Analyseplattform VirusTotal am 8. Juli 2025 aufgetaucht, wird ZynorRAT kontinuierlich weiterentwickelt. Spuren in Telegram-Kanälen und Code-Artefakte deuten auf einen türkischsprachigen Entwickler hin – möglicherweise eine Einzelperson namens „halil“, die das Tool für Untergrund-Märkte vorbereitet.

Telegram als Waffe: Verschleierte Befehle

ZynorRATs gefährlichste Eigenschaft ist die Nutzung der Telegram-API für die Kommunikation. Nach einer erfolgreichen Infektion verbindet sich die Malware mit einem spezifischen Telegram-Bot namens „lraterrorsbot“. Angreifer können dann Befehle erteilen und gestohlene Daten über die verschlüsselte Messaging-Plattform empfangen.

Diese Methode wird bei Cyberkriminellen immer beliebter, da sie einen widerstandsfähigen und anonymen Kanal zur Kontrolle kompromittierter Maschinen bietet. Für Netzwerk-Sicherheitstools wird es nahezu unmöglich, bösartige Befehle von legitimer App-Kommunikation zu unterscheiden.

Der Trojaner gewährt Angreifern umfassende Fernzugriff-Möglichkeiten. Sowohl auf Windows- als auch Linux-Systemen kann ZynorRAT beliebige Shell-Befehle ausführen, Dateien exfiltrieren, Screenshots erstellen und Systeminformationen sammeln. Auf Linux-Systemen richtet die Malware zusätzlich einen systemd-Service ein, um auch nach einem Neustart aktiv zu bleiben.

Anzeige: Apropos Telegram: Wenn Sie die App privat nutzen, sollten Sie die wichtigsten Sicherheits- und Datenschutz-Einstellungen kennen. Der kostenlose Schritt-für-Schritt-Report zeigt, wie Sie Ihre Nummer verbergen, geheime/verschlüsselte Chats verwenden und neugierige Mitleser ausschließen – in wenigen Minuten eingerichtet. Schützen Sie Ihre Kommunikation – Telegram Startpaket jetzt gratis sichern

Go-Sprache ermöglicht breite Angriffsfläche

Die Entwicklung von ZynorRAT in der Programmiersprache Go verstärkt die potenzielle Bedrohung erheblich. Go ermöglicht es Entwicklern, Code einfach für verschiedene Betriebssysteme zu kompilieren – ein wachsender Trend in der modernen Malware-Entwicklung.

Diese Vielseitigkeit erlaubt es Angreifern, ganze heterogene Netzwerke zu kompromittieren: von Windows-Arbeitsplätzen der Mitarbeiter bis hin zu kritischen Linux-Servern, die das Rückgrat der Unternehmensinfrastruktur bilden.

Interessant dabei: Während die Linux-Variante vollständig funktionsfähig ist, befindet sich die Windows-Version noch in der Entwicklung. Die Windows-Executable enthält noch Linux-spezifische Persistenz-Logik, etwa Versuche, einen systemd-Service zu erstellen. Dies deutet darauf hin, dass der Entwickler zunächst die Linux-Version priorisierte, aber an der vollständigen Funktionalität beider Plattformen arbeitet.

Bedrohung für deutsche Unternehmen wächst

ZynorRATs Aufkommen fügt sich in einen besorgniserregenden Trend ein: zunehmend sophisticated und zugängliche Malware. Der mögliche Verkauf dieses Trojaners im Darknet könnte eine mächtige Cyberwaffe in die Hände weniger versierter Krimineller legen.

„ZynorRATs Anpassbarkeit und automatisierte Kontrollen unterstreichen die sich entwickelnde Raffinesse moderner Malware, selbst in deren frühen Stadien“, erklärt Sysdig-Forscherin Alessandra Rizzo.

Besonders deutsche Unternehmen, die häufig gemischte Windows-Linux-Umgebungen betreiben, sind gefährdet. Eine einzelne Malware-Familie, die beide Systeme kompromittieren kann, vereinfacht Angriffskampagnen und erschwert die Verteidigung erheblich.

Schutzmaßnahmen dringend erforderlich

Da der ZynorRAT-Entwickler die Malware kontinuierlich verfeinert und Erkennungsraten reduziert, erwarten Sicherheitsexperten fortgeschrittenere Versionen. Der wahrscheinliche Übergang zu einem Malware-as-a-Service-Modell könnte zu weitverbreiteten Kampagnen verschiedener Bedrohungsakteure führen.

Unternehmen sollten mehrere Sicherheitsmaßnahmen implementieren: Netzwerkverkehr auf ungewöhnliche Telegram-API-Verbindungen überwachen, Endpoint-Detection-and-Response-Lösungen für Go-basierte Executables konfigurieren und strenge Anwendungskontrollen durchsetzen.

Besonders wichtig ist die Sensibilisierung der Mitarbeiter für Phishing-Gefahren und das Herunterladen von Dateien aus nicht vertrauenswürdigen Quellen – häufige Einfallstore für solche Bedrohungen.