
A ESET descobriu duas novas variantes do software malicioso SprySOCKS, uma ameaça que até agora atacava exclusivamente ambientes Linux e que migrou de forma furtiva para o ecossistema da Microsoft. Este método de intrusão secreta está a ser utilizado pelo grupo de ciberespionagem FishMonger, uma organização que os peritos acreditam ser gerida pela I-SOON, operando ao serviço do governo chinês com o foco no desvio de dados críticos.
Os dados de telemetria revelam que, embora as primeiras amostras deste código tenham surgido na plataforma VirusTotal em abril de 2024, a atividade real em equipamentos Windows ocorreu de forma intensa entre 2023 e 2024. A campanha fez vítimas em países como as Honduras, Taiwan, Tailândia e Paquistão, com um alvo principal bem definido: as organizações governamentais.
Como funciona esta camuflagem no núcleo do sistema
O verdadeiro perigo destas variantes, designadas internamente por WIN_DRV e WIN_PLUS, reside na sua capacidade avançada de invisibilidade. Para além do funcionamento habitual de uma porta traseira, o código recorre a um controlador direto no núcleo do sistema operativo (o kernel). Através desta técnica de infiltração, o SprySOCKS consegue ocultar facilmente as suas ligações de rede, esconder processos em execução e apagar o rasto nos ficheiros e nas chaves de registo.
Para os administradores de sistemas, o impacto prático é bastante severo, uma vez que as ferramentas tradicionais de proteção falham frequentemente o alerta. O malware desvia o tráfego TCP e utiliza uma porta aleatória para receber os comandos dos operadores remotos, garantindo que a sua verdadeira porta de escuta não fica exposta à monitorização da rede. O investigador Martin Smolár alerta ainda que existem indícios do envolvimento de componentes de arranque altamente furtivos (bootkits UEFI), possivelmente explorando a vulnerabilidade CVE-2023-24932 para sobreviver a reinícios da máquina.
Um histórico longo de ataques direcionados
Conhecido no mundo da cibersegurança por nomes como Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10, o FishMonger faz parte do vasto ecossistema do Winnti Group. As operações deste coletivo, que muito provavelmente atua a partir da cidade chinesa de Chengdu, têm deixado um rasto claro ao longo da última década. Os especialistas de segurança já tinham detalhado o comportamento do grupo no início de 2020, altura em que a organização visava intensivamente as universidades em Hong Kong durante a vaga de protestos cívicos.
O grupo é também reconhecido por utilizar táticas do tipo watering-hole, que consistem em comprometer páginas legítimas e serviços web frequentados pelas suas vítimas para instalar código malicioso. O seu portefólio inclui ferramentas muito conhecidas no mercado clandestino, como o ShadowPad, Cobalt Strike e o trojan de acesso remoto BIOPASS. Para as empresas portuguesas e utilizadores corporativos, este nível de sofisticação serve como um aviso prático: as armas digitais que hoje sustentam a espionagem estatal acabam rapidamente adaptadas para ataques comerciais no futuro, sublinhando a necessidade absoluta de manter não só o software de segurança, mas também o firmware dos equipamentos rigorosamente atualizado.












Nenhum comentário
Seja o primeiro!