Cybersecurity-onderzoekers hebben twee voorheen ongedocumenteerde Windows-varianten gemarkeerd van wat vermoedelijk een achterdeur voor alleen Linux werd genoemd SprySOCKS.
“De ontdekte Windows-varianten zijn intern gemarkeerd als WIN_DRV en WIN_PLUS”, aldus ESET in een rapport gedeeld met The Hacker News. “Beide worden geleverd met een hardgecodeerde C&C-configuratie (command-and-control) en ondersteunen communicatie via TCP-, UDP- en WebSocket-protocollen.”
Net als zijn Linux-tegenhanger ondersteunen de Windows-versies meer dan 30 opdrachten om het verzamelen van systeeminformatie, procesopsomming, servicebeheer en bestandssysteembewerkingen te vergemakkelijken. WIN_DRV blijkt ook kernelstuurprogramma’s te gebruiken om de netwerkverbindingen, processen, bestanden en registersleutels van de malware te verbergen.
Bovendien maakt de variant het omleiden van TCP-verkeer mogelijk, waardoor de malware-operators opdrachten naar de achterdeur kunnen sturen via een willekeurige TCP-poort op het apparaat van het slachtoffer, zonder dat de daadwerkelijke luisterpoort van de achterdeur in het netwerkverkeer wordt blootgesteld.
SprySOCKS werd voor het eerst publiekelijk gedocumenteerd door Trend Micro in september 2023, waarbij het gebruik ervan werd toegeschreven aan een door de Chinese staat gesponsorde dreigingsactor, bekend als Earth Lusca, die ook wordt gevolgd door de cyberbeveiligingsgemeenschap onder de namen Aquatic Panda, Bronze University, Charcoal Typhoon en RedHotel. Er wordt aangenomen dat de tegenstander ten minste sinds 2021 actief is en wordt beheerd door een Chinese aannemer genaamd i-Soon.
De Slowaakse cyberbeveiligingsleverancier, die de naam FishMonger aan het dreigingscluster heeft toegekend, heeft het beschreven als een cyberspionagegroep die onder de bredere Winnti-paraplu valt. In een rapport dat in maart 2025 werd gepubliceerd, koppelde het bedrijf de hackgroep aan een wereldwijde campagne genaamd Operation FishMedley, gericht op zeven organisaties in Taiwan, Hongarije, Turkije, Thailand, Frankrijk en de VS tussen januari en oktober 2022.
SprySOCKS is gebaseerd op een Windows-trojan voor externe toegang genaamd Trochilus, en deelt een aantal gemeenschappelijke kenmerken met RedLeaves, een achterdeur die ook uitgebreide broncode-overlappingen vertoont met Trochilus. Bovendien is het gebruik van Trochilus gekoppeld aan een andere Chinese bedreigingsacteur, bekend als Webworm, die op zijn beurt overeenkomsten vertoont met zowel FishMonger als SixLittleMonkeys.
De Windows-varianten maken deel uit van versie 1.8 van SprySOCKS, waarbij het WIN_DRV-voorbeeld een kernelstuurprogramma gebruikt dat RawWNPF (“KW1B5206BDC1743FP.dat”) wordt genoemd voor geavanceerde stealth, terwijl de functionaliteit behouden blijft die aanwezig is in de Linux-variant. Het stuurprogramma wordt geladen met behulp van een ander gecodeerd kernelstuurprogramma genaamd DriverLoader (“KX1B5206BDC1743DD.dat”).
De aanvalsketen maakt gebruik van een nog onbepaald initieel toegangspad om een batchscript te verwijderen, dat vervolgens een geplande taak creëert en uitvoert die verantwoordelijk is voor het activeren van een DLL-zijlaadketen die de SprySOCKS-achterdeur en de stuurprogrammacomponenten verwijdert. Het is echter vermeldenswaard dat de groep eerder N-day-beveiligingsfouten in openbare Fortinet-, GitLab-, Microsoft Exchange Server-, Progress Telerik UI- en Zimbra-instanties heeft uitgebuit om voet aan de grond te krijgen.
“De Windows-versie behoudt het grootste deel van de kernarchitectuur van zijn Linux-voorganger – inclusief het C&C-protocol, de gebruikte encryptie en de algemene logica voor commandoverwerking – terwijl het waar nodig Windows-eigen mechanismen vervangt en de stealth van de achterdeur verbetert door de kerneldrivers naar het spel te brengen”, aldus ESET-onderzoeker Martin Smolár.
“De meest opvallende verschillen zijn te zien in de manier waarop de laatste achterdeur wordt geladen, in de verbeterde stealth-functie en in de gebruikte componentnamen en paden.
Het uitvoeringsschema WIN_PLUS hanteert daarentegen een andere aanpak. Het maakt gebruik van de Windows Print Spooler-service (“spoolsv.exe”) als startpunt voor het uitvoeren van een eerste fase-lader die als printprocessor draait. Het is ontworpen om een SprySOCKS-lader te injecteren en uit te voeren in een nieuw gemaakt “svchost.exe”-proces om de achterdeur te starten.
Zowel WIN_DRV- als WIN_PLUS-varianten van SprySOCKS zijn DLL’s die drie kanalen ondersteunen voor C2-communicatie via TCP, UDP en WebSocket en opdrachten uitvoeren die door de operator zijn uitgegeven op de getroffen host. Dit omvat het verzamelen van systeeminformatie, het starten van een interactieve console, het opsommen van processen, het verkrijgen van C2-communicatiegegevens, het opsommen van alle services, het initialiseren van een SOCKS-proxySOCKS-proxy, het uploaden/downloaden van bestanden en het uitvoeren van bestaande bestanden.
Er zijn aanwijzingen dat de artefacten tussen 2023 en 2024 mogelijk zijn ingezet bij aanvallen op overheidsorganisaties in Honduras, Taiwan, Thailand en Pakistan. De WIN_PLUS-versie werd voor het eerst gedetecteerd in juli 2024 op een slachtofferapparaat met de geolocatie in Pakistan.
Bovendien zijn er “beperkte aanwijzingen” die wijzen op de betrokkenheid van een UEFI-bootkit, die waarschijnlijk misbruik maakt van CVE-2023-24932 (CVSS-score: 6,7), een beveiligingsfunctie die de kwetsbaarheid in de Windows Boot Manager omzeilt en die beroemd is geassocieerd met de BlackLotus UEFI-bootkit. Het beveiligingslek werd in mei 2023 door Microsoft verholpen.
“De ontdekking van een Windows-variant van SprySOCKS, voorheen bekend als achterdeur voor alleen Linux, vertegenwoordigt een betekenisvolle uitbreiding van de platformonafhankelijke mogelijkheden van FishMonger”, aldus ESET.
“De Windows-poort behoudt het grootste deel van de kernarchitectuur van zijn Linux-voorganger – inclusief het C&C-protocol, de gebruikte encryptie en de algehele logica voor commandoverwerking – terwijl het waar nodig Windows-native mechanismen vervangt en de stealth van de achterdeur verbetert door de kerneldrivers naar het spel te brengen.”
