Threats
A Eset identificou duas novas variantes do malware SprySOCKS para Windows, associadas ao grupo de ciberespionagem FishMonger, com ataques dirigidos a entidades governamentais
08/07/2026
|
A Eset descobriu duas novas variantes do malware SprySOCKS para Windows, designadas WIN_DRV e WIN_PLUS, alargando pela primeira vez ao sistema operativo da Microsoft uma ferramenta anteriormente exclusiva do ecossistema Linux. A empresa atribui esta ameaça ao grupo de ciberespionagem FishMonger, que acredita estar ligado à empresa chinesa I-SOON, contratada pelo governo da China. Embora as primeiras amostras tenham sido identificadas no VirusTotal em abril de 2024, a telemetria da Eset indica que a atividade maliciosa decorreu entre 2023 e 2024, tendo como principais alvos organizações governamentais nas Honduras, Taiwan, Tailândia e Paquistão. Segundo a investigação, o backdoor utiliza um controlador do núcleo do sistema operativo para ocultar ligações de rede, processos, ficheiros e chaves de registo, além de desviar tráfego TCP. Esta técnica permite aos operadores comunicar com o malware através de uma porta TCP aleatória, dificultando a sua deteção. A Eset explica que a versão para Windows preserva a arquitetura da variante Linux, incluindo o protocolo de comando e controlo (C&C), os mecanismos de encriptação e a lógica de processamento de comandos, adaptando apenas os componentes necessários ao ambiente Windows e reforçando os mecanismos de ocultação através de controladores do kernel. “A versão para Windows mantém a maior parte da arquitetura central da sua antecessora para Linux (...) ao mesmo tempo que melhora a discrição do backdoor ao integrar os controladores do núcleo do sistema operativo”, afirma Martin Smolár, investigador da Eset responsável pela análise, em comunicado. O especialista recomenda ainda uma monitorização atenta das atividades do grupo devido aos indícios limitados de utilização de um bootkit UEFI, potencialmente associado à vulnerabilidade CVE-2023-24932. O FishMonger, também conhecido como Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10, integra o ecossistema Winnti Group e terá origem na cidade chinesa de Chengdu. O grupo é conhecido por campanhas de ciberespionagem, incluindo ataques watering-hole, e utiliza ferramentas como ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS e o trojan de acesso remoto BIOPASS. A variante WIN_DRV suporta mais de 30 comandos de controlo remoto e comunica através dos protocolos TCP, UDP e WebSocket, permitindo recolher informação do sistema e executar operações sobre processos, serviços e ficheiros comprometidos. |