SprySOCKS Arka Kapısı Linux’tan Windows’a Sıçradı: Çin Bağlantılı Grup Tehdidi Artırıyor Yazılım

SprySOCKS Arka Kapısı Linux’tan Windows’a Sıçradı: Çin Bağlantılı Grup Tehdidi Artırıyor

Çin bağlantılı FishMonger grubunun SprySOCKS arka kapısı, Linux’tan Windows’a geçerek kernel seviyesinde rootkit ile gizleniyor ve devlet kurumlarını

Çin bağlantılı bir casusluk grubu olan FishMonger, daha önce yalnızca Linux sistemlerde tespit edilen SprySOCKS arka kapısını Windows’a taşıdı. ESET’in yeni analizine göre, bu arka kapının iki farklı Windows sürümü (WIN_DRV ve WIN_PLUS) keşfedildi. Her iki sürüm de sabit komut ve kontrol (C2) ayarları ve geniş bir casusluk özellikleri seti ile donatılmış durumda. ESET telemetrisi, 2023 ve 2024 yıllarında Honduras, Tayvan, Tayland ve Pakistan’daki devlet kurumlarına yönelik aktif saldırıları ortaya çıkardı.

En dikkat çekici sürüm olan WIN_DRV, bir kernel sürücüsü kullanarak rootkit benzeri bir gizlilik katmanı sağlıyor. Bu yöntem, kötü amaçlı yazılımın dosyalarını, işlemlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını netstat gibi araçlardan gizliyor. Ayrıca, operatörlerin belirli bir işaret içeren paketler aracılığıyla herhangi bir açık porttan arka kapıya sessizce yönlendirme yapmalarına olanak tanıyor. Her iki varyant da TCP, UDP veya WebSocket üzerinden üç kanalı kullanarak iletişim kuruyor ve 30’dan fazla komutu destekliyor.

FishMonger (Earth Lusca ve Aquatic Panda olarak da bilinir), Winnti şemsiyesi altında faaliyet gösteriyor ve Çin’in Chengdu kentinden yönetildiği düşünülüyor. Grubun araç setinde daha önce ShadowPad, Cobalt Strike ve Biopass RAT bulunuyordu. Grubun, Mart 2025’te ABD’de hack-for-hire operasyonları nedeniyle çalışanları suçlanan Çinli yüklenici I-Soon tarafından işletildiği belirtiliyor. ESET, saldırganların sisteme nasıl girdiğini doğrulayamasa da FishMonger’in genellikle yamasız genel sunucuları hedef aldığını belirtiyor.

Teknik Analiz

SprySOCKS, meşru imzalı Windows dosyalarının arkasına DLL side-loading yöntemiyle gizleniyor ve başlangıçta otomatik çalışacak şekilde ayarlanıyor. ESET, bazı saldırıların Windows’tan önce yüklenen UEFI bootkit seviyesine kadar indiğine dair sınırlı işaretler buldu. Bu durum, tehdidin derinliğini ve tespit edilmesinin zorluğunu artırıyor. Güvenlik uzmanları, FishMonger’in yeni Windows varyantlarına karşı savunmacıları dikkatli olmaya çağırıyor.

Paylaş: