Çin bağlantılı bir casusluk grubu olan FishMonger, daha önce yalnızca Linux sistemlerini hedef alan SprySOCKS backdoor'unu Windows işletim sistemine taşıdı. ESET araştırmacıları, bu backdoor'un iki yeni Windows sürümünü tespit etti: WIN_DRV ve WIN_PLUS. Her iki sürüm de sabit kodlanmış komuta-kontrol (C2) ayarları ve geniş bir casusluk özellikleri setiyle geliyor. ESET telemetrisine göre, 2023 ve 2024 yıllarında Honduras, Tayvan, Tayland ve Pakistan'daki devlet kurumlarına yönelik saldırılarda kullanıldı.
En dikkat çekici sürüm olan WIN_DRV, bir kernel sürücüsü aracılığıyla rootkit işlevi görüyor. Bu rootkit, kötü amaçlı yazılımın dosyalarını, süreçlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını gizleyerek netstat gibi araçlarda görünmez hale getiriyor. Ayrıca, operatörlerin backdoor'a erişmesini gizlice sağlıyor: belirli bir işaret içeren paketler, açık portlardan backdoor'un gizli portuna yönlendiriliyor ve gerçek hedef gizleniyor.
Her iki varyant da TCP, UDP veya WebSocket olmak üzere üç kanal üzerinden operatörlerine bağlanabiliyor ve hem istemci hem de sunucu olarak çalışabiliyor. Toplamda 30'dan fazla komutu destekleyen backdoor, sistem ve ağ keşfi, süreç numaralandırma ve sonlandırma, hizmet oluşturma, kontrol ve silme, dosya listeleme, aktarma, silme ve çalıştırma gibi işlemleri gerçekleştirebiliyor. Ayrıca, yerleşik bir SOCKS proxy'si ile tünelleme yapabiliyor.
Detaylar ve Etkileri
Backdoor, etkinleştirildiğinde tuş vuruşlarını ve pano içeriğini kaydedebiliyor ve kendi trafiğine izin vermek için Windows güvenlik duvarına sessizce bir kural ekliyor. FishMonger grubu, aynı zamanda Earth Lusca ve Aquatic Panda olarak da biliniyor ve Winnti şemsiyesi altında faaliyet gösteriyor. Çin'in Chengdu kentinde konuşlandığı düşünülen grup, ShadowPad, Cobalt Strike ve Biopass RAT gibi araçları daha önce kullanmıştı.
Grubun, Çinli yüklenici I-Soon tarafından işletildiği ve Mart 2025'te ABD'de kiralık hack operasyonları nedeniyle çalışanlarının suçlandığı biliniyor. ESET, saldırganların sisteme nasıl girdiğini doğrulayamasa da, FishMonger'ın genellikle yamalanmamış genel sunucuları hedef aldığını belirtiyor. Cihazda, kötü amaçlı yazılım meşru, imzalı Windows dosyalarının arasına DLL yandan yükleme yöntemiyle gizleniyor ve başlangıçta çalışacak şekilde ayarlanıyor.
Uzmanların Görüşleri
En endişe verici bulgu ise, bazı saldırıların Windows'tan önce yüklenen bir UEFI bootkit'ine kadar uzanabileceğine dair sınırlı işaretler bulunması. ESET, savunmacıları bu grubu yakından takip etmeye çağırıyor. SprySOCKS backdoor'unun Windows'a sıçraması, siber casusluk tehditlerinin platformlar arası yayılma eğilimini gösteriyor. Kuruluşların, güvenlik yamalarını güncel tutmaları, ağ trafiğini izlemeleri ve kernel seviyesinde gizlenen tehditlere karşı özel tespit araçları kullanmaları kritik önem taşıyor.
Kaynak: infosecurity-magazine.com