SprySOCKS-Hintertür: China-Gruppe nutzt Windows-Rootkit gegen Regierungen
16.06.2026 - 23:37:06 | boerse-global.de
Die Malware-Familie, die bisher nur von Linux-Systemen bekannt war, wird nun gezielt gegen Regierungsnetzwerke eingesetzt.
Hacker nutzen erweiterte Spionage-Werkzeuge
Die als WIN_DRV und WIN_PLUS bezeichneten Varianten stammen von der China-nahen Gruppe FishMonger – auch bekannt als Earth Lusca oder iSoon. Zwischen 2023 und 2024 setzte die Gruppe diese aktualisierten Werkzeuge in einer Reihe von Cyber-Spionagekampagnen ein. Hauptziele waren Regierungsbehörden in Taiwan, Thailand, Pakistan und Honduras.
Anzeige: Wer die neue Windows-Variante von SprySOCKS mit Kernel-Level-Rootkit in seinem Netzwerk frühzeitig erkennen will, findet in diesem Report die wichtigsten Erkennungs-Checklisten und Härtungsmaßnahmen – von Secure-Boot bis zu FishMonger-Indikatoren. Jetzt kostenlosen Sicherheits-Report anfordern
Die Weiterentwicklung von SprySOCKS von einem reinen Linux-Tool zu einem ausgefeilten Windows-Backdoor mit Rootkit-Funktionen markiert einen bedeutenden technologischen Sprung. Das dürfte die Fähigkeit der Gruppe, langfristige und verdeckte Spionageoperationen durchzuführen, erheblich verstärken.
Kernel-Level-Rootkit macht Windows-Variante besonders gefährlich
Die WIN_DRV-Variante sticht durch ihren Kernel-Level-Rootkit hervor. Dieser ist darauf ausgelegt, der Entdeckung durch Sicherheitssoftware zu entgehen. Ein Treiber namens RawWNPF verbirgt bösartige Prozesse, Dateien, Registrierungseinträge und Netzwerkverbindungen. Die Malware erreicht dies durch das sogenannte Hooking der NtQuerySystemInformation-Funktion – eine Technik, die ihre Aktivitäten effektiv vor Standard-Überwachungstools tarnt.
Um diesen Treiber zu laden, verwendeten die Angreifer eine Komponente namens fsdiskbit.sys. Diese war mit einem digitalen Zertifikat signiert, das ursprünglich von einem GitHub-Repository namens PastDSE stammte. ESET-Forscher fanden zudem Hinweise auf eine mögliche Verbindung zu einem UEFI-Bootkit. Das deutet darauf hin, dass die Gruppe versucht, den Secure-Boot-Schutz zu umgehen – konkret die als CVE-2023-24932 bekannte Sicherheitslücke.
Die Malware sichert ihre Persistenz auf infizierten Systemen durch mehrere Methoden, darunter geplante Tasks und Image File Execution Options (IFEO).
Zweite Variante setzt auf alternative Tarnung
Die WIN_PLUS-Variante nutzt eine andere Methode, um auf einem kompromittierten System präsent zu bleiben. Sie verwendet einen Druckprozessor namens VSPMsg.dll, um sicherzustellen, dass sie aktiv bleibt. Obwohl sich die Persistenzmechanismen unterscheiden, teilen sich beide Versionen ein umfangreiches Spionage-Fähigkeiten-Set.
Anzeige: Regierungsbehörden, die ungepatchte Server im Netzwerk betreiben, sind das Hauptziel von FishMongers WIN_DRV-Hintertür. Dieser Report zeigt, wie Sie mit einer Schritt-für-Schritt-Secure-Boot-Härtung und Indikator-Checklisten die Spionagegefahr minimieren. Secure-Boot-Härtungsleitfaden jetzt sichern
Das aktualisierte SprySOCKS-Arsenal unterstützt mehr als 30 Kommandos für die Kommando- und Kontrollserver (C2). Diese erlauben den Angreifern vielfältige bösartige Aktionen:
- Umleitung von TCP-Datenverkehr über beliebige Ports
- Stehlen von Daten aus der System-Zwischenablage
- Aufzeichnung von Tastatureingaben (Keylogging)
- Kommunikation über TCP-, UDP- und WebSocket-Protokolle
Analysten gehen davon aus, dass der erste Zugang zu den Zielnetzwerken wahrscheinlich durch die Ausnutzung ungepatchter Server gelang. Die Umstellung von SprySOCKS auf Windows-Plattformen mit Rootkit-Fähigkeiten zeigt: FishMonger hat seine technische Ausrüstung deutlich aufgerüstet. Für Regierungsbehörden bedeutet das eine wachsende Bedrohung durch hochprofessionelle Spionage-Software.
