Windows version of SprySOCKS Linux malware used to attack govt orgs

1 minute de lecture

Mis à jour : June 16, 2026

Expansion de SprySOCKS : Le groupe Earth Lusca cible Windows

Le groupe de cyberespionnage Earth Lusca (également connu sous le nom de FishMonger) a étendu ses capacités en adaptant son malware Linux, SprySOCKS, pour les systèmes Windows. Cette nouvelle variante a été identifiée dans des attaques visant des organisations gouvernementales à Taïwan, en Thaïlande, au Pakistan et au Honduras entre 2023 et 2024.

Points clés :

Variantes identifiées :
- WIN_DRV : Version avancée intégrant un pilote en mode noyau (rootkit) pour une furtivité accrue.
- WIN_PLUS : Version allégée agissant comme une porte dérobée (backdoor).
Capacités avancées : Communication via TCP/UDP/WebSocket, exécution de plus de 30 commandes C2, exfiltration de données, enregistrement de frappes clavier (keylogging) et redirection de trafic réseau pour masquer le port d’écoute.
Persistance : Utilisation de tâches planifiées, d’options d’exécution de fichiers image (IFEO) et détournement de processeurs d’impression Windows (Print Processor).
Furtivité : Le pilote RawWNPF permet de masquer les processus, les fichiers, les clés de registre et les connexions réseau, en utilisant un certificat volé du projet GitHub PastDSE.

Vulnérabilités :

CVE-2023-24932 : Des indices suggèrent une utilisation potentielle de cette faille de Secure Boot (déjà exploitée par le malware BlackLotus) dans un composant de type bootkit UEFI, bien que cette corrélation reste à confirmer.

Recommandations :

Surveillance EDR : Déployer des règles de détection basées sur les indicateurs de compromission (IoC) fournis par ESET pour identifier les comportements suspects liés au chargement de pilotes en mémoire.
Gestion des certificats : Surveiller les chargements de pilotes signés avec des certificats connus pour avoir été compromis (ex: PastDSE).
Mise à jour du firmware : Appliquer les correctifs de sécurité pour la vulnérabilité CVE-2023-24932 et renforcer les configurations de Secure Boot.
Audit des persistances : Vérifier régulièrement les tâches planifiées inhabituelles et les configurations anormales au sein des processeurs d’impression Windows.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Windows version of SprySOCKS Linux malware used to attack govt orgs

Expansion de SprySOCKS : Le groupe Earth Lusca cible Windows

Partager sur

Vous pourriez aimer

UK to require ID or face scan before you can make social media accounts

Vers une interdiction des réseaux sociaux pour les moins de 16 ans au Royaume-Uni

Survey: 94% of Incidents Involve Anonymized Infrastructure. Teams Are Still Reactive

L’hégémonie des infrastructures anonymisées : passer de la réaction à la décision

Steam Workshop abused to spread malware via Wallpaper Engine app

Abus du Steam Workshop pour la diffusion de malwares via Wallpaper Engine

SimpleHelp bug lets hackers create rogue remote support accounts

Vulnérabilité critique dans SimpleHelp : contournement d’authentification via OIDC