新型跨平台恶意软件：CHILLYHELL 与 ZynorRAT

网络安全研究人员近日披露了两种新出现的恶意软件，分别是针对 macOS 的后门 CHILLYHELL，以及能够同时感染 Windows 和 Linux 系统的远程访问木马 ZynorRAT。

CHILLYHELL 是一个用 C++ 为 Intel 架构开发的模块化后门，被认为与代号为 UNC4487 的威胁组织相关。该组织至少自 2022 年以来就处于活跃状态，并被怀疑具有间谍背景。攻击者曾通过篡改乌克兰政府网站，将受害者引导至投递恶意样本的页面，使他们在不知情的情况下执行 CHILLYHELL 或 Matanbuchus 等恶意程序。研究人员指出，早在 2021 年，CHILLYHELL 就被苹果误公证，并长期托管在 Dropbox 平台上，直到 2025 年 5 月新的样本被上传至 VirusTotal，苹果才吊销了相关证书。

一旦感染，CHILLYHELL 会对主机进行深入的系统信息收集，并通过多重方式维持持久化，包括安装为 LaunchAgent 或 LaunchDaemon，以及修改用户的 shell 配置文件，在 .zshrc、.bash_profile 或 .profile 中注入启动命令。更为隐蔽的是，它会通过“时间戳伪造”（timestomping）手段篡改文件的时间信息，从而逃避安全检测。如果直接调用系统函数失败，它还会退而求其次，利用 touch 命令来实现时间修改。该后门具备多项危险功能，不仅能够建立反向 Shell 与指挥控制服务器通信，还可以下载并执行新的版本和额外载荷。通过内置的 ModuleSUBF 模块，它甚至可以枚举 /etc/passwd 中的用户，并使用从 C2 获取的密码字典进行暴力破解。研究人员形容，这种恶意软件在 macOS 威胁环境中极为罕见，它的多重持久化、灵活通信能力、以及密码破解与反取证技术，使其更接近于高级持续性威胁工具。而且，它曾通过苹果公证流程这一事实，再次警示用户：签名和认证并不意味着绝对安全。

与之不同，ZynorRAT 则是一个跨平台的远程访问木马，由 Go 语言编写，可运行在 Linux 和 Windows 环境中。它采用 Telegram 机器人 @lraterrorsbot 作为指挥与控制的核心通道，攻击者能够通过 Telegram 向受感染主机下发指令。ZynorRAT 的 Linux 版本功能十分全面，能够执行目录枚举、文件窃取、系统信息收集、进程管理、屏幕截图以及通过 systemd 服务建立持久化等操作。其 Windows 版本基本延续了这些功能，但仍然使用部分 Linux 的持久化机制，显示开发尚未完全成熟。进一步的调查发现，攻击者利用文件分享服务 Dosya.co 来分发样本，从 Telegram 泄露的截图中甚至可以看出，开发者在测试阶段感染了自己的设备。结合语言使用习惯，研究人员推测其作者很可能是一名土耳其黑客。

总体而言，CHILLYHELL 体现出一种高级、长期渗透的攻击手法，背后可能有国家级力量的支持，而 ZynorRAT 则代表了轻量化、跨平台远控工具的最新趋势。前者更像是专为特定政府或关键目标定制的情报收集工具，后者则展示了独立开发者借助 Telegram 和跨平台编程语言，同样能够打造出功能完备的远控木马。两者的出现进一步表明，无论是 macOS、Windows 还是 Linux，都已成为威胁行为者的重点目标。