Siber güvenlik kuruluşu ESET, daha önce yalnızca Linux işletim sistemlerini hedeflediği bilinen SprySOCKS arka kapı yazılımının iki farklı Windows sürümünü belirledi. I-SOON adlı yüklenici ile bağlantılı olduğu değerlendirilen FishMonger grubunun kullandığı bu yazılım, özellikle devlet kurumlarına yönelik casusluk faaliyetlerinde öne çıkıyor. Söz konusu zararlı yazılım örnekleri ilk olarak Nisan 2024'te VirusTotal platformunda görüldü ancak ESET verileri, saldırıların 2023 ile 2024 yılları arasında yoğunlaştığını kanıtlıyor.
FishMonger tarafından kullanılan WIN_DRV kod adlı varyant, 30'un üzerinde Komuta ve Kontrol (C&C) komutuna yanıt veriyor. Bu komut dizisi; sistem verilerinin toplanması, işlem numaralandırma, dosya yönetimi ve aktarımı gibi geniş bir yelpazeyi kapsıyor. Linux mimarisinin temel mantığını koruyan bu sürüm, Windows tabanlı ortamlara entegre olurken çekirdek sürücülerinden faydalanıyor.
Saldırganlar, bu sürücüyü kullanarak ağ trafiğini, dosya işlemlerini ve kayıt defteri anahtarlarını maskeleme imkanına sahip. TCP trafiğinin yönlendirilmesi sayesinde, arka kapının gerçek dinleme portu gizli tutuluyor ve kurbanın cihazındaki rastgele bir port üzerinden komut iletimi sağlanıyor. ESET araştırmacıları, grubun bazı saldırı senaryolarında CVE-2023-24932 güvenlik açığını hedef alan bir UEFI bootkit bileşenini de devreye sokmuş olabileceğini belirtiyor. Honduras, Tayvan, Tayland ve Pakistan, bu saldırıların odak noktasındaki ülkeler olarak kaydedildi.