Los investigadores de ESET han identificado WIN_DRV y WIN_PLUS, dos nuevas variantes para sistemas Windows de la puerta trasera SprySOCKS, una amenaza que hasta ahora solo había sido detectada en entornos Linux. Esta herramienta de ciberespionaje está vinculada a FishMonger, un grupo asociado al contratista chino I-SOON y relacionado con el ecosistema Winnti Group.
Aunque las muestras fueron localizadas inicialmente en VirusTotal, donde se cargaron en abril de 2024, los datos de telemetría de ESET revelan que estas variantes ya estuvieron activas entre 2023 y 2024. Los ataques identificados han afectado a organizaciones de Honduras, Taiwán, Tailandia y Pakistán, con un especial foco en entidades gubernamentales.
Desde ESET España destacan que, pese a que no se han registrado incidentes en territorio español, el descubrimiento resulta de especial interés por el tipo de organizaciones objetivo y por el avance técnico que representan las herramientas utilizadas por los actores de la amenaza.
“El hecho de que estas variantes se hayan dirigido principalmente contra organismos públicos debe servir como recordatorio de que las campañas de ciberespionaje evolucionan de forma constante y que sus técnicas pueden reutilizarse o adaptarse a nuevos entornos”, señala Josep Albors, director de investigación y concienciación de ESET España. “Para España, la importancia está en anticiparse, reforzar la visibilidad sobre amenazas avanzadas y mantener una vigilancia especial sobre vectores de alto impacto como los controladores de kernel o los posibles componentes UEFI”.
Un salto técnico en capacidades de espionaje y evasión
La variante WIN_DRV incorpora soporte para más de 30 comandos de mando y control, o C&C, que cubren distintas funcionalidades. Entre ellas se incluyen la recopilación de información del sistema, la enumeración de procesos, la gestión de servicios y funciones de administración de archivos, como listar, crear, eliminar y transferir ficheros.
Además de sus capacidades principales como puerta trasera, el malware empleado por FishMonger utiliza un controlador de kernel para reforzar su sigilo. SprySOCKS aprovecha este componente para ocultar conexiones de red, procesos, archivos y claves de registro. También permite la redirección de tráfico TCP, lo que facilita que los operadores envíen comandos a la puerta trasera a través de un puerto TCP aleatorio en el dispositivo de la víctima, sin exponer el puerto real de escucha del malware en el tráfico de red.
“La versión para Windows conserva la mayor parte de la arquitectura principal de su predecesora para Linux, incluido el protocolo C&C, el cifrado utilizado y la lógica general de gestión de comandos, al tiempo que sustituye los mecanismos necesarios por otros nativos de Windows y mejora el sigilo de la puerta trasera al incorporar controladores de kernel” afirma Martin Smolár, investigador de ESET que descubrió y analizó el arsenal más reciente de FishMonger. “Teniendo en cuenta los indicios limitados de una posible implicación de un bootkit UEFI, recomendamos seguir muy de cerca la actividad de este grupo”.
Según la telemetría de ESET, existen indicios limitados de que algunos escenarios de ataque con SprySOCKS podrían implicar un componente de bootkit UEFI, posiblemente mediante la explotación de CVE-2023-24932.
FishMonger, también conocido como Earth Lusca, TAG-22, Aquatic Panda o Red Dev 10, es un grupo de ciberespionaje que probablemente opera desde Chengdu, China. ESET Research publicó un análisis sobre este grupo a principios de 2020, cuando dirigió una intensa actividad contra universidades de Hong Kong durante las protestas civiles iniciadas en junio de 2019.
El grupo también es conocido por llevar a cabo ataques de tipo watering hole. El conjunto de herramientas de FishMonger incluye ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS y BIOPASS RAT.
