Los investigadores de ciberseguridad han detectado dos variantes de Windows no documentadas previamente de lo que se creía que era una puerta trasera exclusiva para Linux llamada SprySOCKS.
«Las variantes de Windows descubiertas están marcadas internamente como WIN_DRV y WIN_PLUS», ESET dicho en un informe compartido con The Hacker News. «Ambos vienen con un C&C codificado [command-and-control] configuración y soporte de comunicación a través de protocolos TCP, UDP y WebSocket.»
Al igual que su contraparte de Linux, las versiones de Windows admiten más de 30 comandos para facilitar la recopilación de información del sistema, la enumeración de procesos, la gestión de servicios y las operaciones del sistema de archivos. También se ha descubierto que WIN_DRV utiliza controladores del kernel para ocultar las conexiones de red, los procesos, los archivos y las claves de registro del malware.
Además, la variante habilita el desvío del tráfico TCP que permite a los operadores de malware enviar comandos a la puerta trasera a través de un puerto TCP aleatorio en el dispositivo de la víctima sin exponer el puerto de escucha real de la puerta trasera en el tráfico de la red.
SprySOCKS fue documentado públicamente por primera vez por Trend Micro en septiembre de 2023, atribuyendo su uso a un actor de amenazas patrocinado por el estado del nexo de China conocido como Earth Lusca, que también es rastreado por la comunidad de ciberseguridad bajo los apodos Aquatic Panda, Bronze University, Charcoal Typhoon y RedHotel. Se considera que el adversario está activo desde al menos 2021 y operado por un contratista chino llamado i-Soon.
El proveedor eslovaco de ciberseguridad, que asignó el nombre FishMonger al grupo de amenazas, lo describió como un grupo de ciberespionaje que cae bajo el paraguas más amplio de Winnti. En un informe publicado en marzo de 2025, la compañía vinculó al grupo de piratas informáticos con una campaña global denominada Operación FishMedley dirigida a siete organizaciones en Taiwán, Hungría, Turquía, Tailandia, Francia y Estados Unidos entre enero y octubre de 2022.
SprySOCKS se basa en un troyano de acceso remoto de Windows llamado Trochilus y comparte varias características comunes con rojohojasuna puerta trasera que también muestra un extenso código fuente que se superpone con Trochilus. Es más, el uso de Trochilus está vinculado a otro actor de amenazas chino conocido como Webworm, que, a su vez, tiene puntos en común tanto con FishMonger como con SixLittleMonkeys.
 |
| Cadena de ejecución WIN_DRV |
Las variantes de Windows son parte de la versión 1.8 de SprySOCKS, con el Muestra WIN_DRV utilizando un controlador de kernel denominado RawWNPF («KW1B5206BDC1743FP.dat») para un sigilo avanzado, conservando al mismo tiempo la funcionalidad presente en la variante de Linux. El controlador se carga utilizando otro controlador de kernel cifrado llamado DriverLoader («KX1B5206BDC1743DD.dat»).
La cadena de ataque utiliza una ruta de acceso inicial aún indeterminada para eliminar un script por lotes, que luego crea y ejecuta una tarea programada responsable de activar una cadena de carga lateral de DLL que elimina la puerta trasera SprySOCKS y los componentes del controlador. Sin embargo, vale la pena señalar que el grupo ha explotado previamente fallas de seguridad de N días en instancias públicas de Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI y Zimbra para hacerse un hueco.
«La versión de Windows conserva la mayor parte de la arquitectura central de su predecesor Linux, incluido el protocolo C&C, el cifrado utilizado y la lógica general de manejo de comandos, al tiempo que sustituye los mecanismos nativos de Windows cuando sea necesario y mejora el sigilo de la puerta trasera al incorporar los controladores del kernel al juego», dijo el investigador de ESET Martin Smolár.
 |
| Cadena de ejecución WIN_PLUS |
«Las diferencias más notables se pueden detectar en la forma en que se carga la puerta trasera final, en el sigilo mejorado y en los nombres de los componentes y las rutas utilizadas.
El esquema de ejecución WIN_PLUS, por el contrario, adopta un enfoque diferente. Aprovecha el servicio Print Spooler de Windows («spoolsv.exe») como punto de partida para ejecutar un cargador de primera etapa que se ejecuta como un procesador de impresión. Está diseñado para inyectar y ejecutar un cargador SprySOCKS en un proceso «svchost.exe» recién creado para iniciar la puerta trasera.
Ambas variantes WIN_DRV y WIN_PLUS de SprySOCKS son DLL que admiten tres canales para comunicaciones C2 a través de TCP, UDP y WebSocket y ejecutan comandos emitidos por el operador en el host comprometido. Esto incluye recopilar información del sistema, iniciar una consola interactiva, enumerar procesos, obtener detalles de comunicación C2, enumerar todos los servicios, inicializar un proxy SOCKS, cargar/descargar archivos y ejecutar archivos existentes.
La evidencia indica que los artefactos pueden haber sido utilizados entre 2023 y 2024 en ataques contra organizaciones gubernamentales en Honduras, Taiwán, Tailandia y Pakistán. La versión WIN_PLUS se detectó por primera vez en julio de 2024 en el dispositivo de una víctima geolocalizado en Pakistán.
Es más, hay «indicios limitados» que sugieren la participación de un kit de arranque UEFI, que probablemente explota CVE-2023-24932 (puntuación CVSS: 6,7), una vulnerabilidad de omisión de característica de seguridad en el Administrador de arranque de Windows que está asociada con el kit de arranque UEFI BlackLotus. Microsoft solucionó el problema de seguridad en mayo de 2023.
«El descubrimiento de una variante de SprySOCKS para Windows, anteriormente conocida como puerta trasera exclusiva para Linux, representa una expansión significativa de las capacidades multiplataforma de FishMonger», dijo ESET.
«El port de Windows conserva la mayor parte de la arquitectura central de su predecesor Linux, incluido el protocolo C&C, el cifrado utilizado y la lógica general de manejo de comandos, al tiempo que sustituye los mecanismos nativos de Windows cuando sea necesario y mejora el sigilo de la puerta trasera al incorporar los controladores del kernel al juego».
