Threats

Eset deteta nova ameaça do grupo FishMonger

A Eset identificou duas novas variantes do malware SprySOCKS para Windows, associadas ao grupo de ciberespionagem FishMonger, com ataques dirigidos a entidades governamentais

08/07/2026

Eset deteta nova ameaça do grupo FishMonger
sarayut_sy / AdobeStock

A Eset descobriu duas novas variantes do malware SprySOCKS para Windows, designadas WIN_DRV e WIN_PLUS, alargando pela primeira vez ao sistema operativo da Microsoft uma ferramenta anteriormente exclusiva do ecossistema Linux. A empresa atribui esta ameaça ao grupo de ciberespionagem FishMonger, que acredita estar ligado à empresa chinesa I-SOON, contratada pelo governo da China.

Embora as primeiras amostras tenham sido identificadas no VirusTotal em abril de 2024, a telemetria da Eset indica que a atividade maliciosa decorreu entre 2023 e 2024, tendo como principais alvos organizações governamentais nas Honduras, Taiwan, Tailândia e Paquistão.

Segundo a investigação, o backdoor utiliza um controlador do núcleo do sistema operativo para ocultar ligações de rede, processos, ficheiros e chaves de registo, além de desviar tráfego TCP. Esta técnica permite aos operadores comunicar com o malware através de uma porta TCP aleatória, dificultando a sua deteção.

A Eset explica que a versão para Windows preserva a arquitetura da variante Linux, incluindo o protocolo de comando e controlo (C&C), os mecanismos de encriptação e a lógica de processamento de comandos, adaptando apenas os componentes necessários ao ambiente Windows e reforçando os mecanismos de ocultação através de controladores do kernel.

A versão para Windows mantém a maior parte da arquitetura central da sua antecessora para Linux (...) ao mesmo tempo que melhora a discrição do backdoor ao integrar os controladores do núcleo do sistema operativo”, afirma Martin Smolár, investigador da Eset responsável pela análise, em comunicado. O especialista recomenda ainda uma monitorização atenta das atividades do grupo devido aos indícios limitados de utilização de um bootkit UEFI, potencialmente associado à vulnerabilidade CVE-2023-24932.

O FishMonger, também conhecido como Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10, integra o ecossistema Winnti Group e terá origem na cidade chinesa de Chengdu. O grupo é conhecido por campanhas de ciberespionagem, incluindo ataques watering-hole, e utiliza ferramentas como ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS e o trojan de acesso remoto BIOPASS. A variante WIN_DRV suporta mais de 30 comandos de controlo remoto e comunica através dos protocolos TCP, UDP e WebSocket, permitindo recolher informação do sistema e executar operações sobre processos, serviços e ficheiros comprometidos.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº30 JUNHO 2026

IT SECURITY Nº30 JUNHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.