SprySOCKS trafia na Windows: backdoor powiązany z Chinami zyskuje stealth w kernelu - Security Bez Tabu

SprySOCKS trafia na Windows: backdoor powiązany z Chinami zyskuje stealth w kernelu

Cybersecurity news

Wprowadzenie do problemu / definicja

SprySOCKS to zaawansowany backdoor wykorzystywany w operacjach cybernetycznego szpiegostwa. Dotąd był kojarzony głównie z systemami Linux, jednak nowe ustalenia pokazują, że narzędzie doczekało się także wariantów dla Windows, co znacząco zwiększa jego wartość operacyjną dla atakujących.

Rozszerzenie możliwości malware na środowiska wieloplatformowe oznacza większą elastyczność podczas utrzymywania dostępu, poruszania się po sieci oraz prowadzenia długotrwałych kampanii przeciwko organizacjom korzystającym z różnych systemów operacyjnych.

W skrócie

  • Odkryto dwa warianty SprySOCKS dla Windows: WIN_DRV oraz WIN_PLUS.
  • Oba warianty komunikują się z infrastrukturą C2 przez TCP, UDP i WebSocket.
  • WIN_DRV wykorzystuje sterowniki kernela do ukrywania procesów, plików, kluczy rejestru i połączeń sieciowych.
  • WIN_PLUS nadużywa usługi Print Spooler oraz mechanizmu print processor do uruchamiania złośliwych komponentów.
  • Artefakty łączono z atakami wymierzonymi m.in. w podmioty rządowe w Hondurasie, Tajwanie, Tajlandii i Pakistanie.

Kontekst / historia

SprySOCKS został publicznie opisany jako narzędzie używane przez klaster aktywności wiązany z Chinami, najczęściej łączony z nazwą Earth Lusca. W środowisku threat intelligence grupa ta była również zestawiana z szerszym ekosystemem operacji przypisywanych do zaplecza Winnti.

Najważniejszą zmianą w najnowszych analizach jest przejście od implantu postrzeganego jako specjalistyczny backdoor linuksowy do dojrzałego narzędzia wieloplatformowego. Taka ewolucja zwykle sugeruje inwestycję w rozwój zestawu ofensywnego, chęć zwiększenia skali działań oraz nacisk na długoterminowe operacje szpiegowskie.

Wcześniejsze obserwacje wskazywały również, że operatorzy tego klastra potrafili wykorzystywać znane podatności w systemach brzegowych i publicznie dostępnych usługach. Oznacza to, że kampanie z użyciem SprySOCKS mogą łączyć skuteczny dostęp początkowy z rozbudowanymi mechanizmami utrzymania obecności w środowisku ofiary.

Analiza techniczna

Windowsowe warianty zachowują wiele cech architektury znanej z wersji dla Linuksa. Dotyczy to logiki komend, sposobu komunikacji z serwerem dowodzenia oraz części mechanizmów operacyjnych. Z perspektywy analitycznej nie jest to więc całkowicie nowe malware, lecz adaptacja sprawdzonego implantu do natywnych mechanizmów Windows.

Wariant WIN_DRV korzysta z łańcucha infekcji obejmującego skrypt wsadowy, utworzenie zaplanowanego zadania oraz DLL side-loading. W dalszych etapach instalowane są komponenty backdoora oraz sterowniki jądra. To właśnie warstwa kernelowa odpowiada za najbardziej niebezpieczne funkcje stealth i utrudnia wykrycie zagrożenia przez narzędzia opierające się głównie na telemetrii użytkownika.

Funkcjonalnie WIN_DRV potrafi ukrywać procesy, pliki, klucze rejestru i połączenia sieciowe. Szczególnie istotna jest możliwość przekierowywania ruchu TCP, dzięki której operator może maskować rzeczywisty port nasłuchu implantu i utrudniać zespołom bezpieczeństwa korelację zdarzeń sieciowych z konkretnym procesem.

WIN_PLUS wykorzystuje odmienną metodę uruchomienia. Punktem wejścia jest usługa Print Spooler, w ramach której wykonywany jest loader pierwszego etapu działający jako print processor. Następnie malware uruchamia kolejny komponent w nowo utworzonym procesie svchost.exe, co pozwala lepiej ukryć aktywność wśród legalnych procesów systemowych.

Oba warianty obsługują rozbudowany zestaw komend operatorskich. Obejmuje on rozpoznanie systemu, enumerację procesów, operacje na usługach, zarządzanie plikami, uruchamianie istniejących zasobów, transfer danych oraz inicjalizację proxy SOCKS. W praktyce daje to atakującym pełnoprawne narzędzie do utrzymania dostępu, rekonesansu i dalszej rozbudowy operacji.

W analizach pojawiły się także ograniczone przesłanki sugerujące możliwy związek z mechanizmami trwałości wykraczającymi poza sam system operacyjny, w tym z obejściem zabezpieczeń rozruchu powiązanym z CVE-2023-24932. Gdyby taki element został użyty w praktyce, remediacja incydentu byłaby znacznie trudniejsza i mogłaby wymagać działań na poziomie firmware oraz weryfikacji integralności procesu rozruchu.

Konsekwencje / ryzyko

Rozszerzenie SprySOCKS na Windows zwiększa poziom ryzyka dla administracji publicznej, organizacji strategicznych oraz firm działających w środowiskach mieszanych Windows/Linux. To zagrożenie nie ogranicza się do prostego zdalnego dostępu, lecz oferuje mechanizmy trwałości, ukrywania i sterowania, które mogą wspierać długotrwały cyberwywiad.

  • Trwałe utrzymanie dostępu dzięki technikom stealth na poziomie kernela.
  • Utrudniona detekcja w środowiskach, w których widoczność sterowników i działań jądra jest ograniczona.
  • Możliwość użycia zainfekowanego hosta jako pośrednika proxy w kolejnych etapach operacji.
  • Kradzież danych, rekonesans wewnętrzny i przygotowanie ruchu bocznego.
  • Większa złożoność dochodzenia z powodu side-loadingu, iniekcji do procesów oraz ukrywania artefaktów.

Dodatkowym zagrożeniem jest fakt, że operatorzy byli wcześniej wiązani z wykorzystywaniem podatności w systemach wystawionych do Internetu. W praktyce oznacza to konieczność ochrony nie tylko samych endpointów, ale też usług brzegowych, serwerów aplikacyjnych oraz mechanizmów zdalnego dostępu.

Rekomendacje

Organizacje powinny potraktować pojawienie się windowsowych wariantów SprySOCKS jako sygnał do rozszerzenia monitoringu i procedur huntingowych. Ochrona powinna obejmować zarówno warstwę hosta, jak i telemetrię sieciową oraz kontrolę integralności systemu.

  • Monitorować tworzenie i modyfikację zaplanowanych zadań.
  • Wykrywać nietypowe przypadki DLL side-loadingu.
  • Analizować ładowanie niestandardowych sterowników kernela i ich relacje z usługami systemowymi.
  • Objąć szczególnym nadzorem spoolsv.exe, print processor oraz nietypowe uruchomienia svchost.exe.
  • Inspekcjonować ruch C2 prowadzony przez TCP, UDP i WebSocket.
  • Korelować aktywność sieciową z procesami systemowymi wykazującymi nietypowe zachowanie.
  • Utrzymywać szybkie łatanie publicznie dostępnych usług i systemów brzegowych.
  • Wdrożyć segmentację sieci i ograniczać możliwość lateral movement.
  • Prowadzić hunting pod kątem hostów pełniących nieautoryzowaną rolę proxy SOCKS.
  • W przypadku incydentu zabezpieczyć obraz pamięci, artefakty sterowników oraz zweryfikować integralność rozruchu i ustawień Secure Boot.

Podsumowanie

Pojawienie się wariantów WIN_DRV i WIN_PLUS pokazuje, że SprySOCKS przestał być zagrożeniem ograniczonym do Linuksa i stał się dojrzałym implantem wieloplatformowym. Szczególnie niepokojące są techniki ukrywania oparte na sterownikach jądra, nadużywanie zaufanych komponentów Windows oraz elastyczne kanały komunikacji z serwerami C2.

Dla zespołów SOC, IR i administratorów infrastruktury oznacza to potrzebę lepszej widoczności warstwy kernelowej, dokładniejszego monitorowania usług systemowych oraz traktowania nietypowych ścieżek uruchomienia jako potencjalnych wskaźników kompromitacji. W nowoczesnych kampaniach szpiegowskich samo wykrycie pliku malware nie wystarcza — kluczowe staje się zrozumienie całego łańcucha operacyjnego i potencjalnej trwałości infekcji.

Źródła

  • https://thehackernews.com/2026/06/china-linked-sprysocks-backdoor-expands.html
  • https://www.trendmicro.com/
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
  • https://learn.microsoft.com/
  • https://www.virustotal.com/