mercredi, juillet 1, 2026
38.1 C
Tunisie

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

ESET Research documente pour la première fois deux variantes Windows de la porte dérobée SprySOCKS — WIN_DRV et WIN_PLUS — déployées par le groupe APT FishMonger contre des gouvernements en Asie et en Amérique centrale entre 2023 et 2024.

C’est une évolution significative dans l’arsenal d’un groupe de cyberespionnage déjà bien documenté. ESET Research vient de publier l’analyse technique de deux variantes Windows inédites de la porte dérobée SprySOCKS — jusqu’ici uniquement connue sous Linux — attribuées au groupe APT FishMonger, une émanation du collectif Winnti vraisemblablement opérée depuis Chengdu par le sous-traitant chinois I-SOON.

De Linux à Windows : un portage technique complet, avec ajouts propriétaires

Les deux nouvelles variantes, baptisées WIN_DRV et WIN_PLUS, ont été repérées pour la première fois sur VirusTotal en avril 2024. La télémétrie d’ESET confirme cependant qu’elles étaient opérationnellement actives dès 2023, ciblant des entités gouvernementales au Honduras, à Taïwan, en Thaïlande et au Pakistan.

Sur le plan architectural, WIN_DRV et WIN_PLUS conservent le socle de leur homologue Linux : même protocole C2, mêmes mécanismes de chiffrement, même logique de dispatch des commandes. Le portage ne s’est pas limité à une simple traduction de code — il intègre des couches spécifiques à l’environnement Windows, et notamment un composant en mode noyau qui change fondamentalement le profil de furtivité du malware.

WIN_DRV : 30+ commandes C2 et un pilote noyau pour disparaître du radar

La variante WIN_DRV expose plus de trente commandes de contrôle à distance couvrant la reconnaissance système, l’énumération des processus, la gestion des services Windows et un ensemble complet d’opérations sur le système de fichiers. Elle supporte les transports TCP, UDP et WebSocket pour ses communications avec l’infrastructure C2, offrant aux opérateurs une flexibilité tactique selon l’environnement cible.

Mais c’est son pilote noyau qui constitue l’innovation technique centrale. Ce composant, chargé en mode kernel, assure la dissimulation complète des artefacts liés au malware : connexions réseau, processus actifs, fichiers sur disque et clés de registre deviennent invisibles depuis l’espace utilisateur. Aucun outil de diagnostic standard — netstat, Process Explorer, ou un simple gestionnaire de tâches — ne peut les détecter.

Plus subtil encore, ce pilote implémente un mécanisme de détournement du trafic TCP entrant. Il surveille le flux réseau à la recherche d’un motif spécifique, et lorsqu’il le détecte, redirige silencieusement les paquets vers un port d’écoute interne que le malware maintient caché. Résultat : les opérateurs de FishMonger peuvent envoyer leurs commandes sur n’importe quel port TCP de la machine compromise sans que ce port n’apparaisse jamais dans les tables de connexions actives. Une technique qui complique sérieusement toute tentative de détection réseau par corrélation de ports.

« La version Windows conserve l’essentiel de l’architecture de son équivalent Linux, notamment le protocole de communication C2, les mécanismes de chiffrement et la logique de traitement des commandes. Elle intègre toutefois des fonctionnalités propres à Windows et renforce considérablement ses capacités de dissimulation grâce à l’utilisation de pilotes noyau », souligne Martin Smolár, le chercheur ESET à l’origine de la découverte.

Hypothesis bootkit UEFI : CVE-2023-24932 dans la chaîne d’infection ?

La télémétrie d’ESET soulève une hypothèse que les équipes de sécurité ne peuvent pas ignorer : certaines chaînes d’attaque impliquant SprySOCKS pourraient intégrer un bootkit UEFI, potentiellement via l’exploitation de la vulnérabilité CVE-2023-24932 — une faille de Secure Boot affectant Windows, divulguée en 2023. Si cette piste se confirme, FishMonger disposerait d’une capacité de persistance pré-OS capable de survivre à une réinstallation complète du système d’exploitation, ce qui placerait ce groupe parmi les acteurs APT les plus avancés techniquement sur le plan de la persistance.

Martin Smolár est explicite sur ce point : « Compte tenu des éléments laissant entrevoir une possible implication dans des attaques reposant sur des bootkits UEFI, nous recommandons aux organisations de surveiller attentivement les activités de ce groupe. »

FishMonger : un acteur APT aux multiples facettes, un arsenal en constante évolution

FishMonger — également tracké sous les identifiants Earth Lusca, TAG-22, Aquatic Panda et Red Dev 10 — est actif depuis plusieurs années. ESET Research avait déjà mis en lumière ses opérations en 2020, lors d’attaques de type watering hole visant des universités de Hong Kong dans le contexte des protestations pro-démocratie. Ses cibles sont exclusivement stratégiques : institutions gouvernementales, organismes académiques à fort potentiel de renseignement.

Son catalogue d’outils reflète la maturité opérationnelle du groupe : ShadowPad, Spyder, Cobalt Strike, FunnySwitch, BIOPASS RAT, et désormais SprySOCKS en version Windows. La capacité à porter et enrichir ses outils d’une plateforme à l’autre — en y intégrant des techniques avancées comme le rootkit noyau — témoigne d’une équipe de développement structurée et bien financée.

L’analyse complète, incluant les indicateurs de compromission et les détails techniques de l’implémentation du pilote noyau, est disponible sur WeLiveSecurity.com : « FishMonger’s upgraded arsenal: SprySOCKS for Windows ».

 Chaîne d’exécution de la variante SprySOCKS WIN_DRV.

Articles Recents

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

Topics

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

CrowdStrike Global Threat Report 2026 : la cybersécurité entre dans une nouvelle ère de guerre numérique

Le rapport CrowdStrike 2026 révèle une mutation profonde de la menace cyber : les attaquants ciblent désormais les identités, le cloud, les fournisseurs logiciels et les infrastructures critiques. Avec une hausse de 266 % des intrusions cloud liées à des acteurs étatiques et des failles exploitées en moins de 72 heures, les entreprises doivent revoir leur doctrine de sécurité.

Articles connexes

Catégories populaires