Lisboa, 07 de julho de 2026 – A ESET, empresa europeia líder em cibersegurança, descobriu duas novas variantes do software malicioso SprySOCKS até agora não documentadas para o Windows (WIN_DRV e WIN_PLUS). Trata-se de um método secreto usado para entrar num sistema ou programa (backdoor), anteriormente exclusivo do ecossistema Linux, que poderá ser utilizado pelo grupo de ciberespionagem FishMonger, uma ameaça que os especialistas acreditam ser operada pela I-SOON, uma empresa contratada ao serviço do governo chinês.
Embora a ESET tenha inicialmente descoberto as amostras deste software malicioso no VirusTotal em abril de 2024, a telemetria da ESET revela atividade real entre 2023 e 2024, com várias vítimas nas Honduras, em Taiwan, na Tailândia e no Paquistão, visando principalmente organizações governamentais.
Para além da funcionalidade principal, o backdoor do FishMonger utiliza um controlador do núcleo do sistema operativo (kernel) para garantir uma camuflagem avançada. O SprySOCKS utiliza este controlador para ocultar as ligações de rede, os processos, os ficheiros e as chaves de registo do software malicioso e permite o desvio do tráfego TCP. Esta funcionalidade possibilita aos operadores enviar comandos para o backdoor através de uma porta TCP aleatória no dispositivo comprometido, sem expor a verdadeira porta de escuta do backdoor no tráfego de rede.
“A versão para Windows mantém a maior parte da arquitetura central da sua antecessora para Linux — incluindo o protocolo C&C, os mecanismos de encriptação utilizados e a lógica global de processamento de comandos, ao mesmo tempo que substitui mecanismos nativos do Windows sempre que necessário e melhora a discrição do backdoor ao integrar os controladores do núcleo do sistema operativo. Tendo em conta os indícios limitados de um possível envolvimento de um tipo de software malicioso (bootkit UEFI) recomendamos uma monitorização atenta das atividades do grupo», afirma Martin Smolár, investigador da ESET e responsável pela descoberta e análise do mais recente arsenal do FishMonger.
Com base na telemetria da ESET, existem indícios limitados de que alguns cenários de ataque da SprySOCKS possam envolver um componente de bootkit UEFI, talvez explorando a vulnerabilidade CVE-2023-24932.
O FishMonger, também conhecido por nomes como Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10, é um grupo de ciberespionagem integrado no ecossistema Winnti Group, e que, muito provavelmente, opera a partir da cidade chinesa de Chengdu.
A ESET publicou uma análise deste grupo no início de 2020, quando este visava intensivamente universidades em Hong Kong durante os protestos cívicos que tiveram início em junho de 2019. O grupo é também conhecido por realizar ataques do tipo watering-hole, que consistem em comprometer sites ou serviços web legítimos frequentados pelos seus alvos. O seu portefólio de ferramentas inclui softwares maliciosos avançados como ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS e o trojan de acesso remoto (RAT) BIOPASS. A variante WIN_DRV suporta mais de 30 comandos de comando e controlo (C&C) e comunica através dos protocolos TCP, UDP e WebSocket, permitindo aos operadores remotos recolher informações do sistema e enumerar processos, bem como funções de gestão de serviços e de ficheiros, tais como listar, criar, eliminar e transferir.