Çin ile bağlantılı bir casusluk grubu tarafından kullanılan SprySOCKS backdoor'u, Linux'tan Windows'a genişleyerek kernel seviyesinde gizlenme katmanı kazandı. Bu özellik, güvenlik uzmanlarının sızmaları tespit etmek için kullandığı araçlardan saklanmasını sağlıyor. ESET'in yeni analizi, FishMonger olarak bilinen ve Çin merkezli I-Soon şirketiyle bağlantılı gruba atfedilen SprySOCKS'un daha önce belgelenmemiş iki Windows sürümünü tespit etti. WIN_DRV ve WIN_PLUS olarak adlandırılan bu sürümler, sabit kodlanmış komuta ve kontrol (C2) ayarları ve geniş bir casusluk özellikleri setiyle geliyor.
ESET telemetrisi, bu backdoor'un 2023 ve 2024 yıllarında Honduras, Tayvan, Tayland ve Pakistan'daki devlet kurumlarını hedef alan gerçek saldırılarda kullanıldığını ortaya koydu. SprySOCKS ilk olarak 2023'te bir Linux backdoor'u olarak belgelenmişti. Daha gizli olan WIN_DRV varyantı, bir rootkit görevi gören bir kernel sürücüsü kullanarak malware dosyalarını, işlemlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını netstat gibi araçlardan gizliyor. Ayrıca, operatörlerin backdoor'a iz bırakmadan erişmesini sağlıyor ve belirli bir işaret içeren paketleri gizli porta yönlendirerek gerçek hedefi gizliyor.
Her iki varyant da TCP, UDP veya WebSocket olmak üzere üç kanal üzerinden operatörlerine bağlanıyor ve istemci veya sunucu olarak çalışabiliyor. Toplamda 30'dan fazla komutu destekleyen backdoor; sistem ve ağ keşfi, işlem listeleme ve sonlandırma, hizmet oluşturma, kontrol ve silme, dosya listeleme, aktarma, silme ve çalıştırma ile yerleşik bir SOCKS proxy'si içeriyor. Ayrıca, etkinleştirildiğinde tuş vuruşlarını ve pano içeriğini kaydedebiliyor ve trafiğine izin vermek için Windows güvenlik duvarına sessizce bir kural ekleyebiliyor.
FishMonger, Earth Lusca ve Aquatic Panda olarak da izlenen grup, Winnti şemsiyesi altında yer alıyor ve Çin'in Chengdu kentinden yönetildiği düşünülüyor. Grubun araç seti daha önce ShadowPad, Cobalt Strike ve Biopass RAT'ı kapsıyordu. ESET, saldırganların sisteme nasıl girdiğini doğrulayamasa da FishMonger'ın genellikle yamasız genel sunucuları istismar ettiğini belirtiyor. Cihazda, malware DLL side-loading yoluyla meşru, imzalı Windows dosyaları arasında gizleniyor ve başlangıçta çalışacak şekilde ayarlanıyor. ESET, bazı saldırıların Windows'un kendisinden önce yüklenen bir UEFI bootkit'ine kadar ulaşabileceğine dair sınırlı işaretler buldu ve savunmacıları grubu yakından izlemeye çağırdı.