·       ESET Research a découvert deux variantes Windows, encore inconnues, de la porte dérobée      SprySOCKS de FishMonger.

·       La télémétrie d'ESET révèle une activité entre 2023 et 2024, ciblant principalement des organisations gouvernementales à Taïwan, en Thaïlande au Pakistan et au Honduras.

·       Ces deux variantes Windows se chargent de la communication via les protocoles TCP, UDP et WebSocket et implémentent  plus de 30 commandes.

·       La variante Windows WIN_DRV crée une porte dérobée TCP passive et furtive, utilisant un pilote noyau pour rediriger le trafic vers le port TCP caché de la porte dérobée dès que des données spécialement conçues sont détectées dans un paquet TCP reçu.

Les chercheurs d'ESET ont découvert deux variantes Windows (WIN_DRV et WIN_PLUS) de SprySOCKS, une porte dérobée qui était réservée à Linux et probablement utilisée par FishMonger, un groupe qui serait dirigé par un contractant chinois nommé I-SOON. Si ESET a d’abord repéré les échantillons du maliciel sur VirusTotal en avril 2024, sa télémétrie révèle une activité réelle entre 2023 et 2024, ciblant principalement des organisations gouvernementales, avec plusieurs victimes à Taïwan, en Thaïlande, au Pakistan et au Honduras.

La variante WIN_DRV inclut la prise en charge de plus de 30 C&C (commandes et contrôle), couvrant diverses fonctionnalités, dont la collecte d'informations système et l'énumération des processus ainsi que les fonctions de gestion des services et des fichiers, comme l'affichage, la création, la suppression et le transfert de fichiers.

En plus de sa fonctionnalité de porte dérobée principale, FishMonger utilise un pilote noyau pour une furtivité avancée. SprySOCKS l‘utilise pour cacher les connexions réseau, les processus, les fichiers et les clés de registre du maliciel et permet le détournement du trafic TCP. Les opérateurs du maliciel peuvent ainsi envoyer des commandes à la porte dérobée via un port TCP aléatoire sur l'appareil de la victime sans exposer, dans le trafic réseau, le vrai port d'écoute de la porte dérobée.

« La version Windows conserve l'essentiel de l'architecture de base de son prédécesseur Linux — dont le protocole C&C, le chiffrement utilisé et la logique globale de gestion des commandes — tout en remplaçant les mécanismes natifs de Windows lorsque cela semble nécessaire et en renforçant la furtivité de la porte dérobée grâce à l'utilisation des pilotes du noyau. Avec des indices limités de la possible implication d'un bootkit UEFI, nous conseillons de suivre de près les activités du groupe », dit Martin Smolár, le chercheur d’ ESET, qui a découvert et analysé le nouvel arsenal de FishMonger.

D’après la télémétrie d'ESET, il y a des indications limitées expliquant certains scénarios d'attaque SprySOCKS qui pourraient impliquer un composant de démarrage UEFI, pouvant exploiter le CVE 2023 24932.

FishMonger est affilié au groupe Winnti et opère probablement depuis Chengdu, en Chine. Il est aussi connu sous les noms d'Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10. Début 2020 ESET Research a publié une analyse de FishMonger, suite à ses attaques massives contre des universités de Hong Kong lors des manifestations citoyennes de juin 2019. Le groupe est aussi connu pour des attaques par point d'eau. Parmi les outils utilisés par FishMonger on touve ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS et BIOPASS RAT.