ESET Research ha descubierto WIN_DRV y WIN_PLUS, dos variantes para Windows hasta ahora no documentadas de SprySOCKS. Esta puerta trasera, observada hasta el momento únicamente en Linux, se atribuye a FishMonger, un grupo de ciberespionaje asociado al contratista chino I-SOON y vinculado al ecosistema Winnti Group.

Aunque ESET identificó inicialmente las muestras en VirusTotal, donde fueron subidas en abril de 2024, la telemetría de la compañía muestra actividad real entre 2023 y 2024. Las víctimas detectadas se localizan en Honduras, Taiwán, Tailandia y Pakistán, con un impacto centrado principalmente en organismos gubernamentales.

Desde ESET España señalan que, aunque no se ha observado afectación en España, este hallazgo resulta relevante para el mercado nacional por el perfil de los objetivos y por la evolución técnica de las herramientas empleadas.

“El hecho de que estas variantes se hayan dirigido principalmente contra organismos públicos debe servir como recordatorio de que las campañas de ciberespionaje evolucionan de forma constante y que sus técnicas pueden reutilizarse o adaptarse a nuevos entornos”, señala Josep Albors, director de investigación y concienciación de ESET España. “Para España, la importancia está en anticiparse, reforzar la visibilidad sobre amenazas avanzadas y mantener una vigilancia especial sobre vectores de alto impacto como los controladores de kernel o los posibles componentes UEFI”.

Un salto técnico en capacidades de espionaje y evasión

La variante WIN_DRV incorpora soporte para más de 30 comandos de mando y control, o C&C, que cubren distintas funcionalidades. Entre ellas se incluyen la recopilación de información del sistema, la enumeración de procesos, la gestión de servicios y funciones de administración de archivos, como listar, crear, eliminar y transferir ficheros.

Además de sus capacidades principales como puerta trasera, el malware empleado por FishMonger utiliza un controlador de kernel para reforzar su sigilo. SprySOCKS aprovecha este componente para ocultar conexiones de red, procesos, archivos y claves de registro. También permite la redirección de tráfico TCP, lo que facilita que los operadores envíen comandos a la puerta trasera a través de un puerto TCP aleatorio en el dispositivo de la víctima, sin exponer el puerto real de escucha del malware en el tráfico de red.

“La versión para Windows conserva la mayor parte de la arquitectura principal de su predecesora para Linux, incluido el protocolo C&C, el cifrado utilizado y la lógica general de gestión de comandos, al tiempo que sustituye los mecanismos necesarios por otros nativos de Windows y mejora el sigilo de la puerta trasera al incorporar controladores de kernel” afirma Martin Smolár, investigador de ESET que descubrió y analizó el arsenal más reciente de FishMonger. “Teniendo en cuenta los indicios limitados de una posible implicación de un bootkit UEFI, recomendamos seguir muy de cerca la actividad de este grupo”.

Según la telemetría de ESET, existen indicios limitados de que algunos escenarios de ataque con SprySOCKS podrían implicar un componente de bootkit UEFI, posiblemente mediante la explotación de CVE-2023-24932.

FishMonger, también conocido como Earth Lusca, TAG-22, Aquatic Panda o Red Dev 10, es un grupo de ciberespionaje que probablemente opera desde Chengdu, China. ESET Research publicó un análisis sobre este grupo a principios de 2020, cuando dirigió una intensa actividad contra universidades de Hong Kong durante las protestas civiles iniciadas en junio de 2019.

El grupo también es conocido por llevar a cabo ataques de tipo watering hole. El conjunto de herramientas de FishMonger incluye ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS y BIOPASS RAT.

Para consultar un análisis más detallado sobre el arsenal más reciente de FishMonger, puedes leer el artículo de ESET Research “FishMonger’s arsenal upgraded: SprySOCKS for Windows” en WeLiveSecurity.com.