Des gouvernements en Asie et en Amérique centrale dans le viseur d’un groupe de pirates informatiques lié à un sous-traitant de l’État chinois : c’est ce que révèle une nouvelle analyse d’ESET Research, qui a identifié deux variantes Windows inédites d’un logiciel espion jusqu’ici connu uniquement sous Linux.
SprySOCKS sort de l’ombre : deux nouvelles variantes Windows découvertes
Les chercheurs d’ESET Research ont mis au jour deux nouvelles versions Windows de la porte dérobée SprySOCKS, baptisées WIN_DRV et WIN_PLUS. Ces variantes, jamais documentées auparavant, ont été attribuées au groupe FishMonger, une cellule de cyberespionnage soupçonnée d’être pilotée par I-SOON, un sous-traitant informatique lié aux autorités chinoises et opérant vraisemblablement depuis Chengdu.
Les premiers échantillons ont été détectés sur VirusTotal en avril 2024, mais la télémétrie d’ESET indique que ces outils étaient déjà opérationnels entre 2023 et 2024. Les cibles identifiées sont des organismes gouvernementaux au Honduras, à Taïwan, en Thaïlande et au Pakistan.
Des capacités d’espionnage étendues, une furtivité renforcée
La variante WIN_DRV intègre plus de 30 commandes de contrôle à distance, couvrant un spectre très large : collecte d’informations système, gestion des processus, manipulation de fichiers et administration des services Windows. Elle prend en charge les protocoles TCP, UDP et WebSocket pour ses communications avec les serveurs de commandement.
Ce qui distingue ces nouvelles versions de leur homologue Linux, c’est le recours à un pilote noyau — une couche logicielle de bas niveau — pour rendre le malware pratiquement invisible. Ce composant masque les connexions réseau, les processus actifs, les fichiers et les entrées de registre associés au logiciel malveillant. Il permet également de détourner le trafic TCP afin que les opérateurs puissent envoyer des ordres via n’importe quel port sans trahir l’activité du logiciel espion.
« La version Windows conserve l’essentiel de l’architecture de son équivalent Linux, notamment le protocole de communication, les mécanismes de chiffrement et la logique de traitement des commandes. Elle intègre toutefois des fonctionnalités propres à Windows et renforce considérablement ses capacités de dissimulation grâce à l’utilisation de pilotes noyau », explique Martin Smolár, chercheur chez ESET à l’origine de cette découverte.
Un lien possible avec des bootkits UEFI
La télémétrie d’ESET soulève une hypothèse préoccupante : certaines chaînes d’attaque impliquant SprySOCKS pourraient inclure l’exploitation d’un bootkit UEFI, potentiellement via la vulnérabilité CVE-2023-24932. Ce type d’attaque, qui s’inscrit dans le firmware de la machine, est particulièrement difficile à détecter et à éradiquer.
Martin Smolár appelle les organisations à surveiller attentivement les activités de FishMonger : « Compte tenu des éléments laissant entrevoir une possible implication dans des attaques reposant sur des bootkits UEFI, nous recommandons aux organisations de surveiller attentivement les activités de ce groupe. »
FishMonger, un acteur persistant aux multiples identités
Considéré comme une branche du collectif Winnti — l’un des groupes de cyberespionnage les plus actifs et les mieux documentés au monde — FishMonger est également référencé sous les appellations Earth Lusca, TAG-22, Aquatic Panda et Red Dev 10. ESET Research avait déjà documenté ses opérations en 2020, lors d’attaques visant des universités de Hong Kong dans le contexte des manifestations pro-démocratie.
L’arsenal de FishMonger est diversifié et évolue en permanence : ShadowPad, Spyder, Cobalt Strike, FunnySwitch, BIOPASS RAT et désormais SprySOCKS en version Windows. Le groupe recourt aussi à des techniques dites de « watering hole », consistant à piéger des sites web légitimes fréquentés par ses cibles.
L’analyse complète est disponible sur WeLiveSecurity.com dans l’article « FishMonger’s upgraded arsenal: SprySOCKS for Windows ».

Chaîne d’exécution de la variante SprySOCKS WIN_DRV.
