Le malware SprySOCKS a été utilisé par un groupe de cyberespionnage chinois pour cibler des organisations gouvernementales, au moins depuis 2023. Voici ce que l’on sait sur cette menace.

SprySOCKS, c’est un nouvel exemple d’un logiciel malveillant capable de cibler à la fois les machines sous Linux et Windows. Connu jusqu’ici comme une menace spécifique à Linux et attribuée au groupe chinois Earth Lusca, il s’attaque désormais à Windows. En effet, un nouveau rapport publié par les chercheurs d’ESET évoque l’utilisation d’une variante Windows de SprySOCK pour cibler des administrations à Taïwan, en Thaïlande, au Pakistan et au Honduras.

D’après ESET, le même groupe de cybercriminels est à l’origine de ces attaques : Earth Lusca, un acteur qu’il suit sous le nom de FishMonger. Ces nouvelles variantes ont été découvertes via des fichiers chargés sur VirusTotal. Toutefois, les données de télémétrie d’ESET ont permis de révéler que les premiers incidents remontent à 2023 – 2024. Même si l’information est dévoilée aujourd’hui, la menace SprySOCK sur Windows n’est pas si récente.

Deux variantes Windows, un même objectif : l’espionnage

Là où la version Linux documentée auparavant restait relativement classique, les déclinaisons Windows ajoutent des fonctionnalités de furtivité au niveau du noyau du système d’exploitation. Lors de leurs analyses, les chercheurs ont identifié deux variantes distinctes :

• WIN_DRV, une porte dérobée qui intègre des pilotes noyau lui conférant des capacités proches d’un rootkit (notamment en exploitant la CVE‑2023‑24932),
• WIN_PLUS, une porte dérobée plus basique.

La variante charge WIN_DRV présente la particularité de charger en mémoire un pilote baptisé RawWNPF, lui-même déployé par un autre pilote noyau nommé DriverLoader (fsdiskbit.sys). “Pour que le pilote fonctionne au moins sur certains systèmes obsolètes ou mal configurés, les pirates ont utilisé un certificat divulgué, disponible sur GitHub dans le dépôt du projet PastDSE, et s’en sont servis pour signer le pilote fsdiskbit.sys.”, précisent les chercheurs.

Sur la machine infectée, la persistance ne passe pas par les mêmes mécanismes pour ces deux variantes. WIN_DRV s’appuie sur une tâche planifiée et l’outil vds.exe, tandis que WIN_PLUS s’enregistre comme processeur d’impression Windows.

Malgré leurs différences, ces deux variantes partagent un socle commun de fonctionnalités :

• Communication via TCP, UDP et WebSocket,
• Prise en charge de plus de 30 commandes pour recevoir des ordres des serveurs C2,
• Collection d’informations à propos du système,
• Énumération des processus et des services, avec la possibilité d’interagir sur eux,
• Manipulation complète des fichiers,
• Assumer une fonction de proxy SOCKS,
• Assumer une fonction de keylogger (enregistrer les frappes clavier) et enregistrer le contenu du presse-papiers.

Grâce à l’ensemble de ces actions, le malware peut être furtif tout en étant capable de collecter et d’exfiltrer des informations sensibles.

ESET précise que WIN_DRV “permet également le détournement du trafic TCP, ce qui permet aux opérateurs du logiciel malveillant d’envoyer des commandes à la porte dérobée via un port TCP aléatoire sur l’appareil de la victime, sans révéler le véritable port d’écoute de la porte dérobée dans le trafic réseau.”

Retrouvez plus d’informations dans le rapport d’ESET.