ESET Research découvre deux nouvelles portes dérobées Windows du groupe espion FishMonger

Date:

Les chercheurs d'ESET Research ont mis au jour deux nouvelles variantes Windows de la porte dérobée SprySOCKS, déployées par le groupe de cyberespionnage FishMonger contre des organismes gouvernementaux en Asie et en Amérique latine.

Des gouvernements en Asie et en Amérique centrale dans le viseur d’un groupe de pirates informatiques lié à un sous-traitant de l’État chinois : c’est ce que révèle une nouvelle analyse d’ESET Research, qui a identifié deux variantes Windows inédites d’un logiciel espion jusqu’ici connu uniquement sous Linux.

SprySOCKS sort de l’ombre : deux nouvelles variantes Windows découvertes

Les chercheurs d’ESET Research ont mis au jour deux nouvelles versions Windows de la porte dérobée SprySOCKS, baptisées WIN_DRV et WIN_PLUS. Ces variantes, jamais documentées auparavant, ont été attribuées au groupe FishMonger, une cellule de cyberespionnage soupçonnée d’être pilotée par I-SOON, un sous-traitant informatique lié aux autorités chinoises et opérant vraisemblablement depuis Chengdu.

Les premiers échantillons ont été détectés sur VirusTotal en avril 2024, mais la télémétrie d’ESET indique que ces outils étaient déjà opérationnels entre 2023 et 2024. Les cibles identifiées sont des organismes gouvernementaux au Honduras, à Taïwan, en Thaïlande et au Pakistan.

Des capacités d’espionnage étendues, une furtivité renforcée

La variante WIN_DRV intègre plus de 30 commandes de contrôle à distance, couvrant un spectre très large : collecte d’informations système, gestion des processus, manipulation de fichiers et administration des services Windows. Elle prend en charge les protocoles TCP, UDP et WebSocket pour ses communications avec les serveurs de commandement.

Ce qui distingue ces nouvelles versions de leur homologue Linux, c’est le recours à un pilote noyau — une couche logicielle de bas niveau — pour rendre le malware pratiquement invisible. Ce composant masque les connexions réseau, les processus actifs, les fichiers et les entrées de registre associés au logiciel malveillant. Il permet également de détourner le trafic TCP afin que les opérateurs puissent envoyer des ordres via n’importe quel port sans trahir l’activité du logiciel espion.

« La version Windows conserve l’essentiel de l’architecture de son équivalent Linux, notamment le protocole de communication, les mécanismes de chiffrement et la logique de traitement des commandes. Elle intègre toutefois des fonctionnalités propres à Windows et renforce considérablement ses capacités de dissimulation grâce à l’utilisation de pilotes noyau », explique Martin Smolár, chercheur chez ESET à l’origine de cette découverte.

Un lien possible avec des bootkits UEFI

La télémétrie d’ESET soulève une hypothèse préoccupante : certaines chaînes d’attaque impliquant SprySOCKS pourraient inclure l’exploitation d’un bootkit UEFI, potentiellement via la vulnérabilité CVE-2023-24932. Ce type d’attaque, qui s’inscrit dans le firmware de la machine, est particulièrement difficile à détecter et à éradiquer.

Martin Smolár appelle les organisations à surveiller attentivement les activités de FishMonger : « Compte tenu des éléments laissant entrevoir une possible implication dans des attaques reposant sur des bootkits UEFI, nous recommandons aux organisations de surveiller attentivement les activités de ce groupe. »

FishMonger, un acteur persistant aux multiples identités

Considéré comme une branche du collectif Winnti — l’un des groupes de cyberespionnage les plus actifs et les mieux documentés au monde — FishMonger est également référencé sous les appellations Earth Lusca, TAG-22, Aquatic Panda et Red Dev 10. ESET Research avait déjà documenté ses opérations en 2020, lors d’attaques visant des universités de Hong Kong dans le contexte des manifestations pro-démocratie.

L’arsenal de FishMonger est diversifié et évolue en permanence : ShadowPad, Spyder, Cobalt Strike, FunnySwitch, BIOPASS RAT et désormais SprySOCKS en version Windows. Le groupe recourt aussi à des techniques dites de « watering hole », consistant à piéger des sites web légitimes fréquentés par ses cibles.

L’analyse complète est disponible sur WeLiveSecurity.com dans l’article « FishMonger’s upgraded arsenal: SprySOCKS for Windows ».

 Chaîne d’exécution de la variante SprySOCKS WIN_DRV.

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Entrepreneuriat durable en Méditerranée du Sud : Tunis fédère les acteurs régionaux autour d’un Manifeste pour la transition verte

À l’issue d’une conférence internationale à Tunis, les acteurs de l’entrepreneuriat durable en Méditerranée du Sud ont adopté un Manifeste structurant autour de dix axes clés pour accélérer la transition vers l’économie verte et circulaire.

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

A lire également
A lire également

Samsung confirme le Galaxy Ring 2 et ouvre la porte aux utilisateurs d’iPhone

Samsung travaille sur la prochaine génération de sa bague connectée et pourrait, pour la première fois, l'ouvrir aux utilisateurs d'iPhone — un virage stratégique face à Apple et Oura.

ESET démantèle Amadey et Stealc : deux malwares-as-a-service neutralisés dans une opération mondiale

Trois ans de surveillance, des milliers d'indicateurs partagés, des serveurs neutralisés dans le monde entier : ESET Research a joué un rôle central dans le démantèlement de deux cybermenaces majeures opérant en mode Malware-as-a-Service.

Câble MEDUSA : Orange Tunisie dote la Tunisie d’une nouvelle autoroute numérique méditerranéenne

Le câble MEDUSA, dont Orange Tunisie est propriétaire de la section tunisienne et de la station d'atterrissement de Bizerte, offre une capacité de 24 Tbps par paire de fibres, propulsant la Tunisie au rang de hub numérique régional.

Samsung Galaxy Watch 9 et Ultra 2 : ce que les fuites dévoilent avant le lancement de juillet

Avant l'Unpacked de juillet 2026, les fuites sur la Galaxy Watch 9 et l'Ultra 2 se précisent : nouveau SoC, autonomie en hausse et design anguleux pour le modèle premium.

Samsung révolutionne le confort des appareils connectés grâce au design computationnel

Samsung combine intelligence artificielle, jumeaux numériques et robots de test pour concevoir des Galaxy Buds4 et Galaxy Watch8 adaptés à l'anatomie de chaque utilisateur à l'échelle mondiale.

Epson Tunisie sponsor du 8e Congrès de chirurgie cardiaque : technologie au service de la santé

À l'occasion du 8e congrès de l'ATCCV, Epson a mis en avant des solutions d'étiquetage, de numérisation et d'impression médicale, confirmant son engagement auprès des secteurs professionnels stratégiques en Tunisie.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET décroche, seul, le statut de Challenger dans le Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une troisième reconnaissance consécutive qui confirme la solidité de sa plateforme ESET PROTECT face à une concurrence toujours plus dense.

ESET Research : des groupes APT alignés sur la Chine espionnent le Venezuela, le Golfe et l’IA robotique en Corée du Sud

Des groupes APT alignés sur la Chine ciblent les secteurs maritime, énergétique et l'IA robotique. Sednit frappe l'Ukraine. Andariel vise le nucléaire. ESET cartographie six mois de cybermenaces mondiales.