ESET ha identificato nel giugno 2026 varianti Windows del backdoor SprySOCKS, fino a oggi noto esclusivamente per Linux. La scoperta interrompe una classificazione consolidata: il malware, emerso nel 2023 come strumento del gruppo Earth Lusca/FishMonger, ha attraversato un arco di riuso cross-platform che dal backdoor open-source Trochilus ha generato prima un fork Linux e ora un ritorno su Windows più potente dell'originale.
- ESET ha documentato due varianti Windows di SprySOCKS, precedentemente considerate inesistenti: il backdoor era classificato Linux-only dal 2023
- Le varianti Windows mantengono l'architettura core del predecessore—formato messaggi C&C, chiavi e algoritmi di crittografia, framework HP-Socket—ma aggiungono rootkit kernel per occultamento di connessioni, processi, file e chiavi di registro
- Il targeting ha colpito organizzazioni governative in Honduras, Taiwan, Thailandia e Pakistan nel periodo 2023-2024
- Un indirizzo IP C&C della campagna Windows appartiene allo stesso range di un server di delivery SprySOCKS Linux utilizzato da FishMonger nel 2023
Dal lineage Trochilus alla piattaforma Windows
La genealogia di SprySOCKS segue una catena di adattamenti rari nella loro visibilità. Il punto di partenza è Trochilus, backdoor open-source sviluppato per Windows. Nel 2023, Earth Lusca/FishMonger ne ha realizzato un fork Linux—SprySOCKS—mediante l'injector ELF mandibule, rovesciando la direzione originale del porting. Tre anni dopo, il gruppo ha ricomposto l'architettura per Windows, preservando elementi strutturali che rendono riconoscibile la discendenza: il formato dei messaggi di comando e controllo, le chiavi di crittografia, gli algoritmi e il framework di comunicazione di rete HP-Socket.
La continuità tecnica è documentata da ESET come intenzionale, non casuale. Il riuso di componenti cross-platform riduce i costi di sviluppo e sfrutta infrastrutture C&C già collaudate, ma espone anche il gruppo a rischi di detection per pattern riconoscibili. La scelta di mantenere invariato il sottosistema crittografico e il formato dei messaggi indica che FishMonger ha privilegiato l'interoperabilità con la flotta Linux esistente rispetto all'offuscamento del lineage.
Il rootkit kernel e le nuove capacità di occultamento
La variante Windows introduce un driver a livello kernel che altera la visibilità del sistema operativo su più piani contemporanei. Secondo la documentazione ESET riportata da Bank Info Security, il rootkit nasconde connessioni di rete, processi in esecuzione, file su disco e chiavi di registro. A questa capacità di occultamento si aggiunge il TCP traffic diversion: i comandi dall'infrastruttura C&C raggiungono il backdoor attraverso una porta TCP random sul dispositivo della vittima, senza che la porta di ascolto reale appaia nel traffico di rete monitorato.
"SprySocks utilizes this driver to hide the malware's network connections, processes, files, and registry keys and enables TCP traffic diversion, allowing the malware operators to send commands to the backdoor through a random TCP port on the victim's device without exposing the backdoor's real listening port in the network traffic" — ESET, riportato da Bank Info Security
Le varianti Windows espandono il protocollo di comunicazione rispetto al predecessore Linux: oltre al TCP, supportano UDP e WebSocket. Il set di comandi C&C supera le 30 funzioni, con aggiunte specifiche per raccolta informazioni di sistema, enumerazione processi, gestione servizi, creazione e trasferimento file. La modularità suggerisce che il backdoor è progettato per fasi post-compromissione estese, non per accesso iniziale rapido.
Targeting governativo e collocazione geografica
Le campagne documentate hanno targettato governi di Honduras, Taiwan, Thailandia e Pakistan nel biennio 2023-2024. La distribuzione geografica copre America Centrale e Asia meridionale/orientale, con una concentrazione su enti amministrativi e probabilmente infrastrutture critiche dipendenti. Il timeframe delle campagne Windows si sovrappone parzialmente alla presenza Linux documentata, ma non è chiaro se le due piattaforme siano state distribuite in parallelo o in sequenza.
Il legame infrastrutturale tra le campagne Linux e Windows è rafforzato da un dato specifico: l'unico indirizzo IP C&C identificato nella campagna Windows appartiene allo stesso range IP di un server di delivery SprySOCKS Linux utilizzato da FishMonger nel 2023. Questa sovrapposizione, se non costituisce prova di unica gestione, riduce lo spazio per la coincidenza casuale e sostiene l'attribuzione a un unico operatore.
Il possibile ruolo di CVE-2023-24932 e i limiti della telemetria
Un elemento di incertezza significativo riguarda il meccanismo di persistenza. La telemetria ESET suggerisce che alcuni attacchi possano aver coinvolto un UEFI bootkit, indicando che il threat actor potrebbe sfruttare CVE-2023-24932. La vulnerabilità, con punteggio CVSS 6.7 MEDIUM secondo NVD [CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H], consente il bypass di Secure Boot. Tuttavia, il dossier non conferma che lo sfruttamento sia avvenuto: il condizionale è mantenuto nella formulazione originale di ESET. L'ipotesi bootkit, se verificata, innalzerebbe il livello di persistenza oltre il sistema operativo, rendendo irrilevante la reinstallazione software per la rimozione.
Il vettore di iniziale compromissione nelle campagne Windows non è specificato. Per il predecessore Linux erano noti exploit di Fortinet, GitLab, Exchange e Zimbra; non è documentato se gli stessi vettori o altri abbiano aperto l'accesso nelle infezioni Windows.
Perche e importante
Il dossier non specifica misure correttive specifiche adottate dalle vittime identificate, né documenta indicatori di compromissione (IoC) pubblici al di là dell'indirizzo IP C&C nel range noto. Non è chiaro se l'azione legale contro executive iSoon nel 2024 abbia influenzato le operazioni FishMonger: il ricercatore ESET Martin Smolár ammette esplicitamente questa incertezza. Il report ESET originale non è accessibile direttamente; i dettagli tecnici provengono dal riporto giornalistico di Bank Info Security, che costituisce la fonte primaria per le varianti Windows.
Non è specificato se le varianti Windows portino versionamento 1.1 o 1.3.6 come il Linux, o numerazione diversa. La natura esatta dei dati esposti o raccolti nelle infezioni governative non è dettagliata. Il dossier non documenta inoltre se il malware abbia utilizzato tecniche di anti-analysis o se la fase di post-exploitation includa movimento laterale identificato.
La linea dell'eredità open-source come trend APT
Il caso SprySOCKS illustra una dinamica sottovalutata nel riuso di codice offensivo: la derivazione da progetti open-source non è terminale. Trochilus ha generato un fork Linux, che a sua volta ha generato un ritorno Windows con capacità superiori all'originale. Questo ciclo—Windows→Linux→Windows, con potenziamento a ogni iterazione—sfida i modelli di threat intelligence basati su profili di piattaforma rigidi. La classificazione "Linux-only" ha reso SprySOCKS invisibile alle difese Windows per circa tre anni, un intervallo che il gruppo ha sfruttato per sviluppare in parallelo.
La scelta di preservare l'infrastruttura C&C e i parametri crittografici attraverso il passaggio di piattaforma indica che FishMonger gestisce il backdoor come prodotto evolutivo, non come raccolta di campagne isolate. Il rootkit kernel e il traffic diversion rappresentano un investimento in occultamento che supera la soglia tipica di gruppi opportunistici, coerente con il targeting governativo documentato.
L'espansione geografica verso America Centrale—Honduras non era menzionata nelle campagne Linux precedenti—suggerisce che il gruppo abbia ampliato il perimetro operativo tra il 2023 e il 2024, o che la visibilità delle campagne precedenti fosse parziale. In entrambi i casi, la scoperta del 2026 ridefinisce la superficie di attacco che le organizzazioni governative devono considerare.
FAQ
Cos'è esattamente la "catena di eredità" Trochilus-SprySOCKS?
Trochilus è un backdoor open-source originariamente per Windows. Earth Lusca/FishMonger ne ha creato un fork Linux nel 2023—SprySOCKS—usando l'injector mandibule. Nel 2026 è emersa una variante Windows di SprySOCKS che conserva elementi dell'architettura originale ma aggiunge un rootkit kernel. La sequenza è: Trochilus (Windows, open-source) → SprySOCKS Linux (fork) → SprySOCKS Windows (ritorno con potenziamento).
Perché il ritorno su Windows è significativo se Trochilus era già Windows?
Perché SprySOCKS Windows non è una reinstallazione di Trochilus, ma un porting della variante Linux con aggiunte tecniche sviluppate nel frattempo—il rootkit kernel, i nuovi protocolli di comunicazione, il traffic diversion. Il gruppo ha investito nel riuso cross-platform piuttosto che nel mantenimento di due codestream indipendenti, riducendo costi ma espandendo la coverage.
Quali sono i limiti concreti dell'attribuzione a FishMonger?
L'attribuzione si fonda sulla sovrapposizione infrastrutturale (range IP C&C) e sulla continuità tecnica. Non è documentato che FishMonger controlli direttamente i server identificati, né che il gruppo sia formalmente collegato alle operazioni iSoon oggetto di indagine USA nel 2024. Il dossier non conferma inoltre se il legame "believed to be operated by" un contractor cinese valga per le specifiche campagne Windows.
Fonti
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://nvd.nist.gov/vuln/detail/CVE-2025-33053
- https://thehackernews.com/2023/09/earth-luscas-new-sprysocks-linux.html
- https://www.bankinfosecurity.com/chinese-hacking-firm-upgrades-new-windows-backdoor-a-31977
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.