Çin bağlantılı bir siber casusluk grubu olan FishMonger (Earth Lusca ve Aquatic Panda olarak da bilinir), daha önce yalnızca Linux sistemlerde tespit edilen SprySOCKS backdoor'unu Windows işletim sistemine uyarladı. ESET araştırmacıları, bu backdoor'un iki yeni Windows sürümünü keşfetti: WIN_DRV ve WIN_PLUS. Her iki sürüm de sabit kodlanmış komuta ve kontrol (C2) ayarları ve geniş bir casusluk özellikleri setiyle donatılmış durumda. ESET telemetrisi, bu backdoor'un 2023 ve 2024 yıllarında başta Honduras, Tayvan, Tayland ve Pakistan'daki hükümet kurumları olmak üzere aktif olarak kullanıldığını gösteriyor.
WIN_DRV sürümü, bir kernel rootkiti kullanarak backdoor'un dosyalarını, işlemlerini, kayıt defteri anahtarlarını ve ağ bağlantılarını gizliyor. Bu sayede, netstat gibi araçlar bile bu kötü amaçlı yazılımın varlığını tespit edemiyor. Ayrıca, saldırganların backdoor'a erişimini gizliyor: gelen trafikte belirli bir işaret bulunduğunda, herhangi bir açık porttan gelen trafiği backdoor'un gizli portuna yönlendiriyor ve gerçek hedefi gizliyor. Her iki varyant da TCP, UDP veya WebSocket üzerinden üç farklı kanal kullanarak operatörlerine bağlanabiliyor ve istemci veya sunucu olarak çalışabiliyor.
SprySOCKS, 30'dan fazla komutu destekliyor. Bunlar arasında sistem ve ağ keşfi, işlem numaralandırma ve sonlandırma, hizmet oluşturma, kontrol etme ve silme, dosya listeleme, aktarma, silme ve çalıştırma, yerleşik bir SOCKS proxy'si ile tünel oluşturma, tuş vuruşu ve pano içeriği kaydetme ve Windows güvenlik duvarı kuralı ekleyerek trafiğine izin verme gibi özellikler bulunuyor. FishMonger grubu, daha önce ShadowPad, Cobalt Strike ve Biopass RAT gibi araçları kullanmıştı ve Çinli yüklenici I-Soon ile bağlantılı olduğu düşünülüyor. Mart 2025'te I-Soon çalışanları, kiralık hack operasyonları nedeniyle ABD'de suçlanmıştı.
Sonuç ve Değerlendirme
ESET, saldırganların sisteme nasıl sızdığını kesin olarak belirleyemese de FishMonger'ın genellikle yamasız genel sunucuları hedef aldığını belirtiyor. Cihazda, kötü amaçlı yazılım DLL yandan yükleme yoluyla meşru, imzalı Windows dosyaları arasında gizleniyor ve başlangıçta çalışacak şekilde ayarlanıyor. Daha endişe verici olan ise, bazı saldırıların Windows'tan önce yüklenen bir UEFI bootkit'ine kadar uzanabileceğine dair sınırlı işaretler bulunması. ESET, savunmacıları bu grubu yakından izlemeye çağırıyor.