محققان Netskope Threat Labs، دربپشتی جدید مبتنی بر Golang با منشأ روسی را بررسی کردهاند که از تلگرام به عنوان مکانیزمی برای ارتباطات فرمان و کنترل (C2) استفاده میکند.
این بدافزار که در Golang کامپایل شده است، پس از اجرا مانند یک دربپشتی عمل میکند. گرچه به نظر میرسد هنوز در حال توسعه است، اما کاملاً کاربردی است. دربپشتی به گونهای طراحی شده است که پس از راهاندازی، بررسی کند آیا در یک مکان خاص و با استفاده از یک نام خاص – “C:\Windows\Temp\svchost.exe” اجرا میشود یا نه؟! همچنین محتویات خود را میخواند، آنها را در آن مکان مینویسد و فرآیند جدیدی برای راهاندازی نسخه کپی شده ایجاد میکند و خود را خاتمه میدهد. از جنبههای قابل توجه بدافزار این است که از یک کتابخانه منبعباز استفاده میکند که Golang bindings را برای API ربات تلگرام برای اهداف C2 ارائه میدهد. این شامل تعامل با API ربات تلگرام جهت دریافت دستورات جدید از چت کنترل شده توسط نفوذگران است و خروجی این دستورات دوباره به کانال تلگرام ارسال میشود.
https://thehackernews.com/2025/02/new-golang-based-backdoor-uses-telegram.html
