Fishmonger

Pesquisadores de cibersegurança identificaram duas variantes do malware SprySOCKS, anteriormente conhecido como um backdoor exclusivo para Linux, agora adaptadas para Windows. As variantes, denominadas WIN_DRV e WIN_PLUS, possuem configurações de comando e controle (C&C) embutidas e suportam comunicação via TCP, UDP e WebSocket. Ambas as versões permitem a execução de mais de 30 comandos, incluindo coleta de informações do sistema e gerenciamento de processos. A variante WIN_DRV utiliza drivers de kernel para ocultar conexões de rede e processos, enquanto a WIN_PLUS se aproveita do serviço de spooler de impressão do Windows para iniciar o backdoor. As evidências sugerem que essas variantes foram implantadas em ataques direcionados a organizações governamentais em países como Honduras, Taiwan e Paquistão entre 2023 e 2024. A descoberta dessas versões para Windows representa uma expansão significativa das capacidades do grupo de espionagem cibernética conhecido como FishMonger, que está associado a um ator de ameaças patrocinado pelo estado chinês. A análise revela que a arquitetura central do SprySOCKS foi preservada, mas com melhorias na furtividade e na adaptação a mecanismos nativos do Windows.