Çin bağlantılı bir siber casusluk grubu tarafından kullanılan SprySOCKS backdoor'u, Linux'tan Windows'a genişleyerek savunmacıların saldırıları tespit etmek için kullandığı araçlardan gizlenen çekirdek seviyesinde bir stealth katmanı kazandı. ESET'in yeni analizi, FishMonger olarak bilinen ve Çin merkezli I-Soon yüklenicisiyle bağlantılı gruba atfedilen SprySOCKS backdoor'unun daha önce bilinmeyen iki Windows sürümünü tespit etti.
WIN_DRV ve WIN_PLUS olarak işaretlenen her iki sürüm de sabit kodlanmış komuta ve kontrol (C2) ayarları ve geniş bir casusluk özellikleri setiyle geliyor. ESET telemetrisi, 2023 ve 2024 yıllarına ait gerçek faaliyetleri, çoğunlukla Honduras, Tayvan, Tayland ve Pakistan'daki devlet kurumlarını hedef alarak tespit etti. SprySOCKS ilk olarak 2023'te bir Linux backdoor'u olarak belgelenmişti.
İkisinden daha gizli olan WIN_DRV, bir rootkit görevi gören bir çekirdek sürücüsüne dayanıyor ve kötü amaçlı yazılımın dosyalarını, işlemlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını netstat gibi araçlarda hiç görünmeyecek şekilde gizliyor. Ayrıca operatörlerin kendilerini belli etmeden backdoor'a erişmesine izin veriyor; pakette belirli bir işaret göründüğünde trafiği herhangi bir açık porttan backdoor'un gizli portuna sessizce yönlendiriyor ve gerçek hedefi gizli tutuyor.
FishMonger, Earth Lusca ve Aquatic Panda olarak da bilinen, Winnti şemsiyesi altında yer alıyor ve Çin'in Chengdu kentinden faaliyet gösterdiği düşünülüyor. Grubun araç seti daha önce ShadowPad, Cobalt Strike ve Biopass RAT'ı kapsıyordu ve grubun, Mart 2025'te ABD'de kiralık hack operasyonları nedeniyle çalışanları suçlanan Çinli yüklenici I-Soon tarafından işletildiğine inanılıyor. ESET, saldırganların nasıl girdiğini doğrulayamadı ancak FishMonger tipik olarak yamalanmamış genel sunucuları kullanıyor. Cihazda, kötü amaçlı yazılım DLL yan yüklemesi yoluyla meşru, imzalı Windows dosyaları arasında gizleniyor ve başlangıçta çalışacak şekilde ayarlanıyor.