ESET ha scoperto due nuove varianti Windows della backdoor SprySOCKS attribuita al gruppo FishMonger. Attive tra il 2023 e il 2024 contro enti governativi di Honduras, Taiwan, Thailandia e Pakistan, supportano comunicazioni tramite TCP, UDP e WebSocket e implementano oltre 30 comandi
ESET Research ha rilevato due varianti di SprySOCKS per Windows, finora non documentate (WIN_DRV e WIN_PLUS), una backdoor precedentemente disponibile solo per Linux e presumibilmente utilizzata da FishMonger, il gruppo che si ritiene sia gestito da un contractor cinese chiamato I-SOON. Sebbene ESET abbia inizialmente scoperto i campioni del malware su VirusTotal caricati nell’aprile 2024, i dati di telemetria di ESET evidenziano attività effettive tra il 2023 e il 2024, con numerose vittime in Honduras, Taiwan, Thailandia e Pakistan, colpendo soprattutto enti e organizzazioni governative.
La variante WIN_DRV supporta oltre 30 Command & Control (C&C), che consentono diverse operazioni, tra cui la raccolta di informazioni di sistema e il rilevamento dei processi, la gestione dei servizi e dei file, inclusa la visualizzazione, la creazione, l’eliminazione e il trasferimento degli stessi.
Oltre alle funzionalità di base della backdoor, FishMonger impiega un driver in modalità kernel per garantire capacità avanzate di stealth. SprySOCKS sfrutta tale driver per occultare connessioni di rete, processi, file e chiavi del registro di sistema associati al malware, oltre a implementare meccanismi di deviazione del traffico TCP. Ciò consente agli operatori di impartire comandi alla backdoor tramite una porta TCP arbitraria sul sistema compromesso, senza rivelare nel traffico di rete l’effettiva porta di ascolto utilizzata dalla backdoor.
“La variante Windows conserva la maggior parte dell’architettura di base della sua controparte Linux, inclusi il protocollo C&C, gli algoritmi di crittografia e la logica di gestione dei comandi. Allo stesso tempo, sostituisce i componenti specifici del sistema operativo con meccanismi nativi di Windows e rafforza le capacità di stealth della backdoor mediante l’utilizzo di driver kernel. Alla luce dei limitati ma significativi indizi che suggeriscono un possibile utilizzo di un bootkit UEFI, si raccomanda di continuare a monitorare con attenzione le attività del gruppo”, afferma Martin Smolár, researcher di ESET che ha scoperto e analizzato l’ultimo arsenale utilizzato da FishMonger.
Sulla base dei dati di telemetria di ESET, vi sono indicazioni limitate che alcuni scenari di attacco SprySOCKS potrebbero coinvolgere un componente bootkit UEFI, sfruttando potenzialmente la vulnerabilità CVE 2023 24932.
FishMonger, che si ritiene sia gestito da un contractor cinese chiamato I-SOON, è un gruppo di cyberspionaggio parte del Winnti Group e che opera molto probabilmente dalla città di Chengdu, in Cina. Il gruppo è noto anche con i nomi di Earth Lusca, TAG-22, Aquatic Panda o Red Dev 10. All’inizio del 2020, ESET Research ha pubblicato un’analisi su FishMonger, evidenziando come il gruppo avesse preso pesantemente di mira le università di Hong Kong durante le proteste civili iniziate nel giugno 2019. Il gruppo è inoltre noto per condurre attacchi di tipo “watering-hole”, una tecnica che compromette siti web frequentati abitualmente dalle vittime designate per infettarne i sistemi. Il set di strumenti di FishMonger comprende ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS e il trojan di accesso remoto (RAT) BIOPASS.
