• ESET Research heeft twee nog niet gedocumenteerde Windows-varianten van FishMonger's SprySOCKS-backdoor ontdekt.
• De ESET-telemetrie toont activiteit tussen 2023 en 2024, vooral gericht op overheidsorganisaties in Taiwan, Thailand, Pakistan en Honduras.
• Beide Windows-varianten ondersteunen communicatie via TCP-, UDP- en WebSocket-protocollen en gebruiken meer dan 30 commando's.
• De Windows WIN_DRV-variant creëert een onopvallende, passieve TCP-backdoor
BRATISLAVA, 16 juni 2026 — Onderzoekers van ESET hebben twee nog niet gedocumenteerde Windows-varianten (WIN_DRV en WIN_PLUS) van SprySOCKS ontdekt, een backdoor die vroeger enkel voor Linux beschikbaar was en zou gebruikt zijn door FishMonger, een groep wellicht geleid door I-SOON, een Chinese contractor. Hoewel ESET de malware-stalen eerst op VirusTotal in april 2024 ontdekte, toont de ESET-telemetrie reële activiteiten tussen 2023 en 2024, met als doelwit overheidsorganisaties en meerdere slachtoffers in Taiwan, Thailand, Pakistan en Honduras.
De WIN_DRV-variant ondersteunt meer dan 30 Command and Control (C&C)-opdrachten, die diverse functionaliteiten omvatten, waaronder het verzamelen van systeeminformatie en het opsommen van processen alsook functies voor service- en bestandsbeheer; zoals het weergeven, aanmaken, verwijderen en overdragen van bestanden.
Naast de kernfunctionaliteit van de backdoor, gebruikt die van FishMonger een kernel-stuurprogramma voor geavanceerde verborgen functionaliteiten. SprySOCKS gebruikt dit programma om de netwerkverbindingen, processen, bestanden en registersleutels van de malware te verbergen en maakt TCP-omleidingen mogelijk. Zo kunnen de operatoren van de malware commando’s naar de backdoor sturen via een willekeurige TCP-poort op het toestel van het slachtoffer, zonder dat de werkelijke luisterpoort van de backdoor in het netwerk zichtbaar wordt.
“De Windows-versie behoudt het grootste deel van de kernarchitectuur van zijn Linux-voorganger – inclusief het C&C-protocol, de encryptie en de logica voor het afhandelen van commando’s – terwijl, waar nodig, Windows-eigen mechanismen gebruikt worden en de onzichtbaarheid van de backdoor verbeterd wordt door het gebruik van de kernel-stuurprogramma’s. Door enkele aanwijzingen voor mogelijke betrokkenheid van een UEFI-bootkit, adviseren we om de activiteiten van de groep goed in de gaten te houden”, aldus ESET-onderzoeker Martin Smolár, die het nieuwste arsenaal van FishMonger ontdekte en analyseerde.
Volgens de ESET-telemetrie zijn er toch aanwijzingen dat sommige SprySOCKS-aanvalsscenario’s een UEFI-bootkitcomponent zouden omvatten, mogelijk met gebruik van CVE 2023 24932.
FishMonger – vermoedelijk beheerd door een Chinese contractor, I-SOON genaamd – is een cyberespionagegroep die onder de Winnti Group valt en hoogstwaarschijnlijk vanuit de stad Chengdu in China werkt. De groep is ook bekend onder de namen Earth Lusca, TAG-22, Aquatic Panda of Red Dev 10. ESET Research bracht begin 2020 een analyse van FishMonger, toen de groep zich sinds de burgerprotesten van juni 2019 vooral op universiteiten in Hongkong richtte. De groep voert ook zogenaamde ‘watering-hole’-aanvallen uit. FishMonger gebruikt onder andere de tools ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS en de BIOPASS RAT.
Voor een meer gedetailleerde analyse van FishMonger’s nieuwste wapenarsenaal, raadpleeg de blog van ESET Research op www.WeLiveSecurity.com : “Fishmonger’s arsenal upgraded: SprySOCKS for Windows”. Volg ESET Research op X , BlueSky en Mastodon voor het laatste nieuws van ESET Research.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI te combineren met menselijke expertise, blijft ESET de opkomende wereldwijde cyberdreigingen, zowel bekende als onbekende, een stap voor en beveiligt bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele beveiliging, ESET’s AI-native, cloud-first oplossingen en services blijven zeer effectief en gebruiksvriendelijk. Zijn technologie omvat robuuste detectie en respons, ultrabeveiligde encryptie en multifactorauthenticatie. Met 24/7 realtime beveiliging en sterke lokale ondersteuning zorgt het bedrijf ervoor dat gebruikers veilig zijn en bedrijven ongestoord kunnen blijven functioneren. Het steeds veranderende digitale landschap vraagt een progressieve beveiligingsbenadering. ESET zet zich in voor onderzoek van wereldklasse en krachtige dreigingsinformatie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek, voor meer informatie, www.eset.com of volg ESET op sociale media, luister naar de podcasts, lees de blogs en www.eset.com/be-nl.
Meer lezen