Los investigadores de ciberseguridad han detectado dos variantes de Windows no documentadas previamente de lo que se creía que era una puerta trasera exclusiva de Linux llamada SprySOCKS.
«Las variantes de Windows descubiertas están marcadas internamente como WIN_DRV y WIN_PLUS», dijo ESET en un informe compartido con The Hacker News. «Ambos vienen con una configuración C&C (comando y control) codificada y admiten comunicación a través de protocolos TCP, UDP y WebSocket».
Al igual que la versión de Linux, la versión de Windows admite más de 30 comandos que facilitan la recopilación de información del sistema, la enumeración de procesos, la gestión de servicios y la manipulación del sistema de archivos. También se ha descubierto que WIN_DRV utiliza controladores del kernel para ocultar las conexiones de red, los procesos, los archivos y las claves de registro del malware.
Además, esta variante habilita el desvío del tráfico TCP que permite a los operadores de malware enviar comandos a la puerta trasera a través de puertos TCP aleatorios en el dispositivo de la víctima sin exponer los puertos de escucha reales de la puerta trasera al tráfico de la red.
SprySOCKS fue documentado públicamente por primera vez por Trend Micro en septiembre de 2023, y su uso se ha atribuido a un actor patrocinado por el estado vinculado a China conocido como Earth Lusca, y también ha sido rastreado por la comunidad de ciberseguridad bajo los apodos Aquatic Panda, Bronze University, Charcoal Typhoon y RedHotel. El atacante ha estado activo desde al menos 2021 y se considera que es operado por un contratista chino llamado i-Soon.
El proveedor eslovaco de ciberseguridad, que asignó el nombre FishMonger al grupo de amenazas, lo describió como un grupo de ciberespionaje que cae bajo el paraguas más amplio de Winnti. En un informe publicado en marzo de 2025, la compañía vinculó al grupo de hackers con una campaña global llamada «Operación Fishmedley» que tuvo como objetivo siete organizaciones en Taiwán, Hungría, Turquía, Tailandia, Francia y Estados Unidos entre enero y octubre de 2022.
SprySOCKS se basa en un troyano de acceso remoto de Windows llamado Trochilus y comparte algunas características comunes con RedLeaves, una puerta trasera que también exhibe un extenso código fuente que se superpone con Trochilus. Además, el uso de Trochilus se ha relacionado con otro actor de amenazas chino conocido como Webworm, que comparte oficio con FishMonger y SixLittleMonkeys.
Cadena de ejecución WIN_DRV
La variante de Windows es parte de la versión 1.8 de SprySOCKS, y la muestra WIN_DRV utiliza un controlador de kernel llamado RawWNPF (‘KW1B5206BDC1743FP.dat’) para un sigilo avanzado y al mismo tiempo conserva la funcionalidad presente en la variante de Linux. El controlador se carga mediante un controlador de kernel cifrado independiente denominado DriverLoader (‘KX1B5206BDC1743DD.dat’).
Esta cadena de ataque aprovecha una ruta de acceso inicial que aún no se ha determinado para eliminar un script por lotes, que luego crea y ejecuta una tarea programada que desencadena una cadena de descarga de DLL que elimina la puerta trasera SprySOCKS y los componentes del controlador. Sin embargo, vale la pena señalar que este grupo se ha afianzado anteriormente al explotar fallas de seguridad de N días disponibles públicamente en instancias de Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI y Zimbra.
El investigador de ESET Martin Smolár dijo: «La versión de Windows conserva la mayor parte de la arquitectura central de su predecesor Linux, como los protocolos C&C, el cifrado utilizado y la lógica general de procesamiento de comandos, pero reemplaza los mecanismos nativos de Windows cuando es necesario y mejora la naturaleza sigilosa de la puerta trasera al introducir controladores del kernel en el juego».
Cadena de ejecución WIN_PLUS
“Las diferencias más notables están en cómo se carga la puerta trasera final, sus mejoras sigilosas y los nombres de los componentes y las rutas utilizadas.
Por el contrario, el esquema de ejecución WIN_PLUS adopta un enfoque diferente. Utiliza el servicio Windows Print Spooler (‘spoolsv.exe’) como punto de partida y ejecuta un cargador de primera etapa que se ejecuta como un procesador de impresión. Está diseñado para inyectar y ejecutar un cargador SprySOCKS en el proceso «svchost.exe» recién creado, iniciando una puerta trasera.
Tanto la versión WIN_DRV como WIN_PLUS de SprySOCKS son DLL que admiten tres canales de comunicación C2 a través de TCP, UDP y WebSockets y ejecutan comandos emitidos por operadores en hosts comprometidos. Esto incluye recopilar información del sistema, iniciar una consola interactiva, enumerar procesos, obtener detalles de comunicación C2, enumerar todos los servicios, inicializar el proxy SOCKS, cargar/descargar archivos y ejecutar archivos existentes.
La evidencia sugiere que estos artefactos pueden haberse implementado en ataques dirigidos a agencias gubernamentales en Honduras, Taiwán, Tailandia y Pakistán entre 2023 y 2024. La versión WIN_PLUS se detectó por primera vez en julio de 2024 en los dispositivos de las víctimas ubicadas en Pakistán.
Además, hay «indicios limitados» de que el kit de arranque UEFI está involucrado, lo que potencialmente explota CVE-2023-24932 (puntaje CVSS: 6.7), una conocida vulnerabilidad de evitación de característica de seguridad del Administrador de arranque de Windows asociada con el kit de arranque UEFI BlackLotus. Esta falla de seguridad fue resuelta por Microsoft en mayo de 2023.
«El descubrimiento de la versión para Windows de SprySOCKS, anteriormente conocida como puerta trasera sólo para Linux, representa una expansión significativa de las capacidades multiplataforma de FishMonger», dijo ESET.
«El port de Windows conserva gran parte de la arquitectura central de su predecesor Linux, incluidos los protocolos C&C, el cifrado utilizado y la lógica general de procesamiento de comandos, pero reemplaza los mecanismos nativos de Windows cuando corresponde y mejora la naturaleza sigilosa de la puerta trasera al introducir controladores del kernel en el juego».
Source link
