Investigadores de ESET han identificado dos nuevas variantes de Windows de SprySOCKS, un backdoor que anteriormente solo existía en Linux, asociado al grupo de ciberespionaje conocido como FishMonger, presuntamente operado por un contratista chino. Los análisis iniciales de muestras de malware encontradas en VirusTotal indican que ha habido actividad de estas variantes entre 2023 y 2024, con varios objetivos en países como Honduras, Taiwán, Tailandia y Pakistán, principalmente en organizaciones gubernamentales.
Las variantes de Windows, internamente denominadas WIN_DRV y WIN_PLUS, cuentan con configuraciones de comando y control (C&C) codificadas y soportan la comunicación a través de protocolos TCP, UDP y WebSocket. Ambas variantes implementan más de 30 comandos, permitiendo la recopilación de información del sistema, enumeración de procesos, así como gestión de servicios y archivos.
La versión WIN_DRV se destaca por utilizar controladores de kernel para ocultar las conexiones de red del malware, procesos, archivos y claves del registro, lo que permite redirigir el tráfico TCP. Esto posibilita que los operadores del malware envíen comandos a través de un puerto TCP aleatorio en el dispositivo de la víctima, sin exponer el puerto real en el tráfico de red. Además, se ha encontrado que algunos escenarios de ataque de SprySOCKS podrían implicar un componente bootkit UEFI, posiblemente explotando la vulnerabilidad CVE-2023-24932.
Este análisis ha llevado a atribuir con alta confianza estas nuevas variantes de Windows al grupo de FishMonger. Se ha descubierto que estos operadores han desarrollado capacidades cibernéticas personalizadas, como el backdoor SprySOCKS, que muestra un sofisticado diseño adaptado para evitar detecciones y lograr una ocultación efectiva de sus actividades.
Fuente: WeLiveSecurity by eSet.
