Des versions Windows du malware Linux SprySOCKS ont été employées dans des attaques qui visaient des organisations gouvernementales dans au moins quatre pays.
SprySOCKS est lié au groupe de menace chinois Earth Lusca. Cette entité l’a déployé contre des organismes d’État spécialisés dans les affaires étrangères, la technologie et les télécommunications.
Les chercheurs d’ESET ont découvert des variantes Windows de cette même famille de logiciels malveillants. Elles ont été utilisées entre 2023 et 2024 pour attaquer des institutions gouvernementales à Taïwan, en Thaïlande, au Pakistan et au Honduras.
ESET attribue cette activité avec un haut degré de confiance au groupe Earth Lusca, qu’ils suivent sous le nom de FishMonger.
Contrairement à la version Linux déjà documentée, la variante Windows intègre des capacités de furtivité au niveau du noyau. Cela permet aux opérateurs de dissimuler les artefacts malveillants et de communiquer avec la porte dérobée grâce à un trafic redirigé depuis des ports TCP arbitraires.
Les deux variantes sont WIN_DRV, qui comprend des pilotes noyau pour des fonctions de type rootkit, et WIN_PLUS, une porte dérobée plus rudimentaire.
Les deux offrent les capacités suivantes :
- Communiquer via TCP, UDP et WebSocket
- Prendre en charge plus de 30 commandes de contrôle à distance
- Collecter les informations du système
- Énumérer et gérer les processus et les services
- Lister, créer, supprimer, téléverser, télécharger, copier, renommer et exécuter des fichiers
- Fonctionner comme un proxy SOCKS
- Agir à la fois comme client et serveur
- Enregistrer les frappes au clavier, le contenu du presse-papiers et les titres des fenêtres actives
Source : ESET
La variante WIN_DRV ajoute la fonctionnalité de charger en mémoire un pilote nommé RawWNPF.
Le pilote est chargé par un autre pilote noyau appelé DriverLoader (fsdiskbit.sys). Ce dernier est signé avec un certificat volé qui provient du projet GitHub PastDSE.
Ce pilote permet au malware de masquer des processus en manipulant l’API Windows, de dissimuler des connexions réseau, de cacher des fichiers dans les listes de répertoires et d’occulter les entrées de registre malveillantes qu’il utilise pour sa persistance.
La persistance est obtenue via des tâches planifiées et les Options d’Exécution de Fichier Image pour WIN_DRV, et via l’enregistrement de la charge utile comme processeur d’impression Windows pour WIN_PLUS.
Une autre fonction observée inspecte le trafic TCP entrant et redirige les paquets spécialement conçus vers la porte dérobée SprySOCKS. Cela permet une communication qui n’expose pas le port d’écoute.
« La version WIN_DRV permet une diversion du trafic TCP. Les opérateurs du malware peuvent ainsi envoyer des commandes à la porte dérobée via un port TCP aléatoire sur l’appareil de la victime, sans que le véritable port d’écoute de la porte dérobée soit visible dans le trafic réseau », expliquent les chercheurs d’ESET.
Source : ESET
Les données de télémétrie d’ESET ont aussi montré des traces d’un composant bootkit UEFI qui pourrait exploiter la faille CVE-2023-24932. Cette vulnérabilité du Secure Boot avait déjà été exploitée comme zero-day par le malware UEFI BlackLotus.
Cependant, aucun détail supplémentaire ni preuve tangible n’a été fourni pour étayer un lien avec BlackLotus.
Le rapport d’ESET présente une analyse technique détaillée et des indicateurs de compromission. Ces éléments peuvent aider les organisations à identifier et à se protéger contre les attaques qui utilisent les versions Windows de la porte dérobée SprySOCKS.
Bien que ces variantes ne soient pas nouvelles, leur découverte montre qu’Earth Lusca a élargi son arsenal pour cibler une plus grande diversité de systèmes.