SprySOCKS Backdoor: Linux'ten Windows'a Geçen Gelişmiş Siber Casusluk Tehdidi Linux

SprySOCKS Backdoor: Linux'ten Windows'a Geçen Gelişmiş Siber Casusluk Tehdidi

Çin bağlantılı FishMonger grubunun SprySOCKS backdoor'u Linux'tan Windows'a geçti. Kernel seviyesinde rootkit ile gizlenen zararlı, hükümet hedeflerin

ESET araştırmacıları, Çin bağlantılı FishMonger casusluk grubunun kullandığı SprySOCKS backdoor'unun Windows sürümlerini keşfetti. Daha önce sadece Linux'ta görülen bu arka kapı, artık Windows sistemlerde de çalışabiliyor. WIN_DRV ve WIN_PLUS adlı iki varyant, kernel seviyesinde rootkit yetenekleriyle donatılmış durumda. Bu sayede güvenlik araçları tarafından tespit edilmeleri oldukça zorlaşıyor. ESET telemetri verilerine göre, 2023 ve 2024 yıllarında Honduras, Tayvan, Tayland ve Pakistan'daki devlet kurumlarına yönelik saldırılarda kullanıldı.

WIN_DRV varyantı, bir kernel sürücüsü aracılığıyla rootkit işlevi görüyor. Bu sürücü, zararlının dosyalarını, işlemlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını gizleyerek netstat gibi araçlarla tespit edilmesini engelliyor. Ayrıca, saldırganların belirli bir işaret taşıyan paketler aracılığıyla gizlice erişmesine olanak tanıyan bir trafik yönlendirme mekanizması içeriyor. Her iki varyant da TCP, UDP ve WebSocket üzerinden iletişim kurabiliyor ve 30'dan fazla komutu destekliyor. Bu komutlar arasında sistem keşfi, süreç yönetimi, dosya işlemleri, tuş kaydı ve pano izleme gibi casusluk faaliyetleri bulunuyor.

FishMonger grubu (Earth Lusca ve Aquatic Panda olarak da bilinir), Winnti şemsiyesi altında faaliyet gösteriyor ve Çin'in Chengdu kentinden yönetildiği düşünülüyor. Grup daha önce ShadowPad, Cobalt Strike ve Biopass RAT gibi araçları kullanmıştı. ABD'de Mart 2025'te açıklanan iddianamelere göre, grup Çinli taşeron I-Soon tarafından işletiliyor. ESET, saldırganların sisteme nasıl sızdığını kesin olarak belirleyemese de, FishMonger'ın genellikle güncellenmemiş genel sunucuları hedef aldığı biliniyor. Zararlı, DLL yan yüklemesi yoluyla meşru Windows dosyaları arasında gizleniyor ve başlangıçta otomatik çalışacak şekilde ayarlanıyor.

En endişe verici bulgu ise, bazı saldırıların Windows'un kendisinden önce yüklenen UEFI bootkit seviyesine kadar inebilmesi. ESET, bu durumun sınırlı işaretlerini tespit ettiğini belirtiyor. UEFI bootkit'leri, işletim sistemi yüklenmeden önce çalıştığı için tespit edilmeleri ve temizlenmeleri oldukça zordur. Uzmanlar, bu gelişmiş tehdit karşısında güvenlik ekiplerinin FishMonger grubunu yakından takip etmesi gerektiğini vurguluyor. SprySOCKS'un Windows'a geçişi, siber casusluk gruplarının platformlar arası yeteneklerini artırdığını ve savunma mekanizmalarının sürekli güncellenmesi gerektiğini gösteriyor.

Paylaş: