رصد باحثو الأمن السيبراني نسختين جديدتين من برمجية SprySOCKS، التي كانت تُعرف سابقًا كباب خلفي خاص بأنظمة Linux فقط. النسختان الجديدتان موجهتان لنظام Windows وتحملان أسماء داخلية: WIN_DRV وWIN_PLUS.
البرمجية تعود إلى مجموعة تجسس مرتبطة بالصين تُعرف باسم Earth Lusca، والتي تعمل تحت مظلة Winnti، وتُعرف أيضًا بأسماء مثل Aquatic Panda وRedHotel. هذه المجموعة مرتبطة بشركة صينية تدعى i-Soon، وتعمل منذ عام 2021 على حملات تجسس واسعة النطاق ضد مؤسسات حكومية وأكاديمية حول العالم.
قدرات النسخ الجديدة
- كلا النسختين تدعمان أكثر من 30 أمرًا تشمل جمع معلومات النظام، إدارة العمليات والخدمات، وتنفيذ عمليات على الملفات.
- WIN_DRV: يستخدم سائقًا (Kernel Driver) لإخفاء الاتصالات الشبكية والعمليات والملفات ومفاتيح السجل، مع إمكانية تحويل حركة مرور TCP لتجنب كشف المنفذ الحقيقي.
- WIN_PLUS: يعتمد على خدمة Windows Print Spooler لتشغيل محمّل أولي يعمل كمعالج طباعة، يقوم بحقن محمّل SprySOCKS في عملية جديدة باسم svchost.exe لتشغيل الباب الخلفي.
سلسلة التنفيذ والاستغلال
- نسخة WIN_DRV تستعين بسائق مشفّر باسم DriverLoader لتحميل السائق الأساسي RawWNPF، وتُنفذ عبر مهمة مجدولة وسلسلة DLL Side-Loading.
- نسخة WIN_PLUS تعتمد على حقن الكود في خدمة الطباعة، ثم تشغيله داخل عملية نظامية لتفادي الكشف.
- المجموعة استغلت سابقًا ثغرات معروفة (N-day) في منتجات مثل Fortinet وGitLab وMicrosoft Exchange Server وProgress Telerik UI وZimbra للحصول على موطئ قدم أولي.
ارتباطات مع برمجيات أخرى
SprySOCKS مبني على برمجية Trochilus RAT، ويشارك سمات مع برمجية RedLeaves، وكلاهما مرتبطان بمجموعات صينية أخرى مثل Webworm وSixLittleMonkeys. هذا يوضح شبكة مترابطة من أدوات التجسس التي تتشارك الشيفرات والممارسات.
الأهداف والانتشار
الأدلة تشير إلى أن النسخ الجديدة استُخدمت بين عامي 2023 و2024 لاستهداف مؤسسات حكومية في هندوراس وتايوان وتايلاند وباكستان. وقد رُصدت نسخة WIN_PLUS لأول مرة في يوليو 2024 على جهاز في باكستان.
كما توجد مؤشرات محدودة على استخدام UEFI Bootkit مرتبط بالثغرة CVE-2023-24932، وهي ثغرة في مدير إقلاع ويندوز عُرفت سابقًا مع برمجية BlackLotus.
دلالات أمنية
هذا التطور يُظهر أن مجموعة FishMonger (الاسم الذي أطلقته ESET على Earth Lusca) توسّع قدراتها عبر الأنظمة، حيث احتفظت نسخة ويندوز بمعمارية النسخة الأصلية في Linux، لكنها أضافت تقنيات إخفاء متقدمة عبر السائقين لتعزيز التخفي والقدرة على البقاء داخل الأنظمة المستهدفة.
