Pesquisadores documentam as variantes WIN_DRV e WIN_PLUS, com drivers de núcleo, desvio de tráfego TCP e cadeias de carregamento distintas em alvos governamentais na Ásia e nas Américas
| Componente | Backdoor SprySOCKS versão 1.8 em Windows (variantes WIN_DRV e WIN_PLUS), drivers de núcleo RawWNPF e DriverLoader, além de artefatos relacionados ao cluster FishMonger |
| Vetor | Acesso inicial ainda indeterminado no fluxo observado; persistência via tarefa agendada e side-loading de DLL; WIN_PLUS abusa do serviço Print Spooler (spoolsv.exe) como ponto de partida; histórico do grupo inclui exploração de falhas N-day em Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI e Zimbra expostos à internet |
| Impacto | Execução remota de mais de 30 comandos operacionais, coleta de informações do sistema, enumeração de processos e serviços, operações de arquivo, proxy SOCKS e console interativo; WIN_DRV oculta conexões, processos, arquivos e chaves de registro via driver de núcleo e desvia comandos por porta TCP aleatória no host |
| Prioridade | Caçar side-loading de DLL, tarefas agendadas suspeitas, drivers de núcleo não assinados ou carregados por cadeias cifradas, tráfego C2 em TCP/UDP/WebSocket e abuso do Print Spooler; reforçar correção de superfícies historicamente exploradas pelo cluster e revisar telemetria em organizações governamentais |
| Artefatos | Driver RawWNPF (KW1B5206BDC1743FP[.]dat), carregador DriverLoader (KX1B5206BDC1743DD[.]dat); variantes internamente rotuladas WIN_DRV e WIN_PLUS |
| IoCs | Implantações observadas entre 2023 e 2024 contra organizações governamentais em Honduras, Taiwan, Tailândia e Paquistão; WIN_PLUS detectado pela primeira vez em julho de 2024 em dispositivo geolocalizado no Paquistão |
| Mitigação | Aplicar correções para CVE-2023-24932 quando indicadores limitados de bootkit UEFI forem investigados; validar integridade de boot, restringir carregamento de drivers não confiáveis e monitorar processos filhos anômalos de spoolsv.exe e svchost.exe |
Pesquisadores de segurança identificaram duas variantes inéditas do backdoor SprySOCKS para ambientes Windows, expandindo uma ferramenta antes associada principalmente a Linux. As amostras receberam designações internas WIN_DRV e WIN_PLUS e integram a versão 1.8 da família. Ambas trazem configuração de comando e controle embutida no binário e suportam comunicação por TCP, UDP e WebSocket, preservando a lógica operacional do predecessor Linux enquanto substituem mecanismos por equivalentes nativos do Windows.
A variante WIN_DRV adiciona camada de furtividade baseada em drivers de núcleo para ocultar conexões de rede, processos, arquivos e entradas de registro associados ao malware. Também implementa desvio de tráfego TCP que permite ao operador enviar ordens ao backdoor por uma porta TCP aleatória no dispositivo comprometido, reduzindo a exposição da porta de escuta real do implant nas capturas de rede. A WIN_PLUS, por outro lado, adota cadeia distinta de execução centrada no serviço Print Spooler e injeção em processo svchost.exe recém-criado.
O fornecedor que publicou a análise atribuiu o conjunto de atividade ao cluster de espionagem cibernética FishMonger, enquadrado no guarda-chuva Winnti. O mesmo conjunto foi ligado anteriormente à campanha Operation FishMedley, que atingiu sete organizações em Taiwan, Hungria, Turquia, Tailândia, França e Estados Unidos entre janeiro e outubro de 2022. SprySOCKS deriva de um trojan de acesso remoto Windows conhecido como Trochilus e compartilha traços com RedLeaves; o uso de Trochilus também foi associado ao ator Webworm, com sobreposições de modus operandi entre FishMonger e SixLittleMonkeys.
No esquema documentado para WIN_DRV, a cadeia observada inicia com um vetor de acesso ainda não determinado que deposita um script em lote. Esse artefato cria e executa uma tarefa agendada responsável por disparar uma cadeia de side-loading de DLL que instala o backdoor SprySOCKS junto aos componentes de driver. O driver de núcleo RawWNPF, referenciado internamente pelo arquivo KW1B5206BDC1743FP[.]dat, é carregado por meio de outro driver cifrado denominado DriverLoader (KX1B5206BDC1743DD[.]dat). Essa combinação estende as capacidades já presentes na variante Linux com ocultação em nível de núcleo.
A arquitetura WIN_PLUS diverge na etapa final de carregamento. O fluxo aproveita o serviço Windows Print Spooler (spoolsv.exe) como ponto de partida para executar um carregador de primeira etapa configurado como processador de impressão. Esse componente injeta e executa um carregador SprySOCKS dentro de um processo svchost.exe recém-criado, a partir do qual o backdoor passa a operar. As duas variantes Windows são implementadas como bibliotecas DLL e mantêm mais de trinta comandos compatíveis com a versão Linux, incluindo coleta de informações do sistema, abertura de console interativo, enumeração de processos, consulta de parâmetros de C2, listagem de serviços, inicialização de proxy SOCKS, transferência de arquivos e execução de binários existentes.
Embora o caminho inicial específico das amostras analisadas permaneça em aberto, o histórico operacional do cluster indica exploração prévia de vulnerabilidades N-day em instâncias expostas de Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI e Zimbra como forma de obter posição inicial. Há indicações limitadas, ainda não conclusivas, de envolvimento de bootkit UEFI possivelmente relacionado a CVE-2023-24932, falha de bypass de recurso de segurança no Gerenciador de Inicialização do Windows associada publicamente ao bootkit BlackLotus e corrigida pela Microsoft em maio de 2023, com pontuação CVSS 6.7.
As variantes Windows ampliam a superfície de risco para estáções e servidores corporativos ou governamentais onde o cluster FishMonger já demonstrou interesse em espionagem de longo prazo. A presença de drivers de núcleo eleva o impacto para qualquer ambiente que permita carregamento de módulos não confiáveis ou que não monitore integridade de drivers com rigor suficiente.
Evidências apontam implantação entre 2023 e 2024 contra organizações governamentais na Honduras, Taiwan, Tailândia e Paquistão. A variante WIN_PLUS foi detectada pela primeira vez em julho de 2024 em equipamento geolocalizado no Paquistão. Organizações com exposição histórica às plataformas citadas na trilha de acesso inicial do grupo — gateways Fortinet, GitLab, Exchange, Telerik UI e Zimbra — permanecem alvos plausíveis para reutilização de TTPs semelhantes.
- Hosts Windows com side-loading de DLL e tarefas agendadas criadas por scripts em lote
- Servidores e estáções onde o Print Spooler executa processadores de impressão não reconhecidos
- Ambientes governamentais na região das Américas, Ásia Meridional e Sudeste Asiático com telemetria compatível com implantações de 2023–2024
- Infraestrutura com boot UEFI potencialmente vulnerável a CVE-2023-24932, quando indicadores de bootkit forem corroborados
A detecção deve combinar visibilidade de endpoint, rede e integridade de boot. A variante WIN_DRV exige atenção a drivers de núcleo carregados por cadeias cifradas e a processos cujas conexões ou presença em listagens padrão desaparecem apesar de atividade de rede residual. O desvio de tráfego TCP sugere procurar sessões originadas localmente em portas altas ou efêmeras que não correspondam a serviços legítimos conhecidos, mas que ainda entreguem tráfego compatível com comando remoto.
Para WIN_PLUS, a telemetria deve correlacionar execuções anômalas iniciadas a partir de spoolsv.exe, criação subsequente de svchost.exe com linha de comando ou pai incomuns e injeção de código em processos de sistema. No plano de rede, conexões C2 podem aparecer simultaneamente em TCP, UDP ou WebSocket conforme a configuração embutida de cada amostra. A configuração hard-coded de C2 reduz variabilidade observável entre implantações do mesmo lote, mas exige decodificação forense do binário para extração confiável de indicadores.
- Tarefas agendadas novas vinculadas a scripts
.batde origem desconhecida - Carregamento de drivers com nomes semelhantes a
KW1B5206BDC1743FP[.]dateKX1B5206BDC1743DD[.]datou hashes correlatos em repositórios internos - Processos filhos de Print Spooler que levam à injeção em
svchost.exesem serviço Windows correspondente - Tráfego C2 sobre TCP, UDP e WebSocket a partir de DLLs side-loaded em diretórios não padrão
- Sinais de integridade de boot inconsistentes em hosts investigados por possível bootkit UEFI ligado a CVE-2023-24932
A resposta deve priorizar isolamento de hosts com indicadores de drivers de núcleo maliciosos ou side-loading ativo, preservação de memória e discos para análise de DLLs SprySOCKS e extração de configuração C2 embutida. Em paralelo, equipes de vulnerabilidade devem confirmar que sistemas historicamente visados pelo cluster — Fortinet, GitLab, Exchange, Telerik UI e Zimbra — não permanecem expostos com falhas N-day conhecidas.
Endurecimento de carregamento de drivers, auditoria de tarefas agendadas, restrição de permissões de escrita em pastas usadas para side-loading e monitoramento reforçado do Print Spooler reduzem a superfície das duas variantes. Quando investigações apontarem para bootkit UEFI, aplicar as mitigações documentadas para CVE-2023-24932 e validar cadeia de confiança de boot antes de considerar remediação completa. A remoção de implantes com componentes de núcleo frequentemente exige reconstrução controlada ou restauração a partir de mídia confiável, não apenas exclusão de arquivos userland.
- Inventariar e corrigir exposições remanescentes em Fortinet, GitLab, Exchange, Telerik UI e Zimbra
- Bloquear ou alertar sobre carregamento de drivers não assinados e revisar políticas de Device Guard e HVCI quando aplicável
- Auditar processadores de impressão registrados e processos iniciados por
spoolsv.exe - Coletar amostras de DLLs side-loaded e correlacionar tráfego TCP/UDP/WebSocket com configuração extraída do binário
- Aplicar correções e verificações de integridade de boot para CVE-2023-24932 quando houver indícios limitados de bootkit UEFI
0 Comentários