Le logiciel malveillant SprySOCKS, jusqu'ici connu comme une menace exclusivement dirigée contre les systèmes Linux, a fait l'objet d'une adaptation aux environnements Windows. Selon une analyse publiée par les chercheurs d'ESET, cette nouvelle variante a été employée pour cibler des organismes gouvernementaux situés à Taïwan, en Thaïlande, au Pakistan et au Honduras.
L'attribution de cette campagne de cyberespionnage revient au groupe Earth Lusca, un acteur également suivi sous le nom de FishMonger par la société de cybersécurité. Les premières traces de ces attaques remonteraient à 2023-2024, bien que leur existence n'ait été révélée que récemment. Les chercheurs ont découvert les échantillons via la plateforme VirusTotal, et les données de télémétrie d'ESET ont permis de confirmer que des incidents se produisaient depuis plusieurs années.
Deux variantes aux capacités distinctes
Les investigations ont mis au jour deux déclinaisons de la porte dérobée SprySOCKS pour Windows. La première, baptisée WIN_DRV, se distingue par l'intégration de pilotes au niveau du noyau du système d'exploitation, lui conférant des capacités proches de celles d'un rootkit. Cette souche exploite notamment la vulnérabilité CVE-2023-24932 pour renforcer sa furtivité. WIN_DRV charge en mémoire un pilote nommé RawWNPF, lui-même déployé par un autre pilote noyau appelé DriverLoader, identifié sous le nom de fichier fsdiskbit.sys.
La seconde variante, désignée sous le nom de WIN_PLUS, se présente comme une porte dérobée plus basique, dépourvue des mécanismes de dissimulation avancés de sa consœur. Les deux versions partagent toutefois un objectif commun : permettre l'espionnage et l'exfiltration de données depuis les machines infectées.
Un certificat divulgué pour contourner les défenses
Pour assurer le fonctionnement de leurs pilotes, notamment sur des systèmes obsolètes ou mal configurés, les opérateurs d'Earth Lusca ont eu recours à un certificat numérique divulgué. Ce certificat, dont l'origine reste à déterminer, était accessible publiquement sur la plateforme GitHub, dans un dépôt qui n'a pas été nommé. Cette technique permet de signer les pilotes malveillants afin qu'ils soient chargés par le système sans déclencher d'alertes de sécurité, du moins sur des machines dont les mécanismes de vérification sont incomplets.
Une menace en expansion
L'extension de SprySOCKS à Windows marque une étape dans l'évolution des capacités du groupe Earth Lusca. Alors que la version Linux documentée antérieurement présentait des caractéristiques relativement conventionnelles, les variantes Windows ajoutent une couche de sophistication en s'ancrant profondément dans le système d'exploitation. Les chercheurs d'ESET estiment que ces nouvelles souches pourraient être utilisées dans le cadre d'opérations de cyberespionnage à grande échelle, ciblant des institutions gouvernementales dans plusieurs pays.
Les autorités de sécurité informatique sont invitées à prendre en compte cette menace dans leurs stratégies de défense, notamment en veillant à la mise à jour des correctifs de sécurité et au contrôle des certificats utilisés pour la signature de pilotes. L'exploitation de la CVE-2023-24932 souligne l'importance de maintenir les systèmes à jour, même si les attaquants ciblent surtout les environnements dont la configuration est défaillante.
