ESET ujawnił dwa nieudokumentowane dotąd warianty SprySOCKS dla Windows — backdoora, który dotąd uważano za wyłącznie linuksowy. Przypisuje go grupie FishMonger, prawdopodobnie operowanej przez chińskiego kontraktora I-SOON, działającej pod parasolem Winnti. Warianty, oznaczone wewnętrznie jako WIN_DRV i WIN_PLUS, ESET znalazł na VirusTotal, ale telemetria pokazuje realną aktywność w latach 2023–2024 — z ofiarami w Hondurasie, na Tajwanie, w Tajlandii i Pakistanie, głównie wśród organizacji rządowych.
To nie jest historia o świeżym ataku ani o krytycznej luce do załatania dziś. To jest historia o tym, jak grupa cyberszpiegowska modernizuje narzędzie — i o jednej technice ukrywania, która zasługuje na uwagę, bo pokazuje, dlaczego pasywne backdoory są tak trudne do wykrycia.
Skąd się wziął SprySOCKS
Krótka genealogia, bo jest pouczająca. SprySOCKS pojawił się w 2023 roku jako linuksowy backdoor, wywiedziony z otwartoźródłowego windowsowego narzędzia Trochilus. Czyli: kod publicznie dostępny → przerobiony na Linuksa → a teraz, w 2026, przeniesiony z powrotem na Windows w nowej, ulepszonej formie.
To jest ten sam wzorzec recyklingu narzędzi, który opisywaliśmy przy Miasmie powstałej z open-source'owanego Shai-Huluda — z tą różnicą, że tutaj recykling odbywa się wewnątrz arsenału jednej grupy APT przez kilka lat. Wersja windowsowa zachowuje większość rdzennej architektury linuksowego poprzednika — protokół C&C, użyte szyfrowanie i ogólną logikę obsługi poleceń — podmieniając tam, gdzie trzeba, mechanizmy na natywne dla Windows i poprawiając ukrywanie się przez wprowadzenie sterowników jądra.
Oba warianty to biblioteki DLL, obsługujące ponad 30 poleceń C&C: zbieranie informacji o systemie, enumerację procesów, zarządzanie usługami i operacje na systemie plików. Komunikują się trzema kanałami — TCP, UDP i WebSocket — z zaszytą na stałe konfiguracją serwera dowodzenia.
WIN_DRV: backdoor, który nie nasłuchuje
Tu jest technika, dla której ta historia zasługuje na opis — bo jest eleganckim przykładem tego, dlaczego pasywne backdoory wymykają się standardowym metodom wykrywania.
Wariant WIN_DRV tworzy pasywny backdoor TCP, opierając się na sterowniku jądra, który przekierowuje ruch na ukryty port backdoora — ale tylko wtedy, gdy w odebranym pakiecie TCP wykryje specjalnie spreparowane dane. Pozwól, że rozłożę, dlaczego to jest groźne.
Typowy backdoor otwiera port i na nim nasłuchuje, czekając na połączenie od operatora. To jest wykrywalne: skan portów pokazuje otwarty, nasłuchujący port, którego nie powinno tam być. Lista aktywnych połączeń ujawnia podejrzaną usługę. WIN_DRV nie robi tego. Nie otwiera nasłuchującego portu. Zamiast tego sterownik jądra inspekcjonuje cały przychodzący ruch TCP i dopiero gdy zobaczy sekretną sygnaturę w treści pakietu — coś w rodzaju „magicznego pakietu" — przekierowuje to konkretne połączenie na ukryty port backdoora. Dla każdego, kto skanuje urządzenie z zewnątrz, port nie istnieje. Backdoor jest niewidoczny, dopóki operator nie wyśle pakietu z właściwym kluczem.
To pozwala operatorom wysyłać polecenia do backdoora przez losowy port TCP na urządzeniu ofiary, nie wystawiając samego backdoora. Połączenie wygląda jak ruch do dowolnej legalnej usługi — aż do momentu, gdy sterownik je przechwyci. A że sterownik działa w jądrze, ukrywa też połączenia sieciowe, procesy, pliki i klucze rejestru należące do malware. To jest ukrywanie na najgłębszym poziomie systemu — poniżej tego, co widzą narzędzia działające w przestrzeni użytkownika.
WIN_PLUS: ukrywanie przez nadużycie usług systemowych
Drugi wariant idzie inną drogą — nie przez sterownik jądra, ale przez nadużycie zaufanych usług Windows.
WIN_PLUS wykorzystuje usługę bufora wydruku Windows (spoolsv.exe) jako punkt startowy do uruchomienia loadera pierwszego etapu, działającego jako procesor wydruku. Ten loader wstrzykuje i uruchamia loader SprySOCKS w nowo utworzonym procesie svchost.exe, by uruchomić backdoora.
To jest klasyczny living-off-the-land: zamiast uruchamiać własny, podejrzany proces, malware wplata się w legalne komponenty systemu. spoolsv.exe i svchost.exe to procesy obecne na każdym Windowsie — analityk patrzący na listę procesów widzi nazwy, które powinny tam być. Złośliwy kod biegnie w środku zaufanych usług, korzystając z ich legalności jako kamuflażu.
Dwa warianty, dwie różne filozofie ukrywania: WIN_DRV schodzi do jądra i staje się niewidoczny dla skanów sieciowych, WIN_PLUS zostaje w przestrzeni użytkownika, ale przebiera się za legalne usługi. Obie służą temu samemu celowi — utrzymaniu długoterminowej, cichej obecności w sieci ofiary, co jest sednem operacji cyberszpiegowskiej.
Kim jest FishMonger
Atrybucja jest tu mocna i warta odnotowania, bo umieszcza to narzędzie w szerszym kontekście. FishMonger to grupa cyberszpiegowska działająca pod parasolem Winnti, prawdopodobnie operująca z Chin, z miasta Chengdu. Znana jest też jako Earth Lusca, TAG-22 i Aquatic Panda. Według raportów ESET jest operowana przez chińskiego kontraktora o nazwie I-SOON.
I-SOON to nazwa, która powinna brzmieć znajomo — to firma, której wewnętrzne dokumenty wyciekły na początku 2024 roku, odsłaniając kulisy chińskiego ekosystemu kontraktorów cyberszpiegowskich: jak prywatne firmy realizują operacje na zlecenie aparatu państwowego, jak wygląda komercyjny rynek narzędzi inwigilacji. SprySOCKS dla Windows jest konkretnym artefaktem z tego ekosystemu — narzędziem, które kontraktor rozwija, modernizuje i wdraża przeciwko celom rządowym w wybranych krajach.
Profil ofiar to potwierdza: organizacje rządowe w Hondurasie, na Tajwanie, w Tajlandii i Pakistanie. To jest klasyczny zestaw celów państwowego cyberszpiegostwa — kraje o znaczeniu strategicznym lub regionalnym dla chińskich interesów. To nie jest kampania nastawiona na zysk; to jest zbieranie wywiadu.
Co to znaczy w szerszym obrazie
Warto umieścić SprySOCKS obok tego, co opisywaliśmy ostatnio. Przez kilka tygodni dominowały dwa wątki: AI po obu stronach bezpieczeństwa (Mythos, Agentjacking, vibecoded exploity) oraz zaufane narzędzia jako wektor (FortiSandbox, Apex One).
SprySOCKS jest przypomnieniem, że obok tych nowych frontów trwa klasyczne, cierpliwe cyberszpiegostwo państwowe — i ono nie potrzebuje AI ani spektakularnych zero-dayów. Potrzebuje dobrze zrobionego, cicho ukrytego backdoora i lat niewidocznej obecności. Telemetria z 2023–2024 oznacza, że to narzędzie działało w sieciach ofiar przez długi czas, zanim ktokolwiek je udokumentował. To jest dwell time mierzony w latach — przeciwieństwo głośnych, szybkich kampanii ransomware.
Dla obrońcy lekcja jest taka: gdy cała uwaga branży idzie w stronę AI i najnowszych klas ataków, dobrze finansowane grupy państwowe spokojnie modernizują sprawdzone narzędzia i utrzymują dostęp technikami, które działają od dekad — kernel rootkity, living-off-the-land, pasywne backdoory. Nowe zagrożenia nie wypierają starych; nawarstwiają się na nie.
Co zrobić
To nie jest podatność do załatania, więc obrona jest inna niż przy CVE. Kluczowe są wskaźniki kompromitacji i wykrywanie zachowań.
Pobierz wskaźniki kompromitacji z raportu ESET i sprawdź je w swoim środowisku — szczególnie jeśli twoja organizacja mieści się w profilu celów (instytucje rządowe, podmioty o znaczeniu strategicznym w regionie Azji i Pacyfiku lub Ameryki Łacińskiej). ESET opublikował hashe i konfiguracje C&C.
Monitoruj ładowanie sterowników jądra. WIN_DRV opiera się na sterowniku — wykrywanie nieoczekiwanych, niepodpisanych lub podejrzanych sterowników jądra to kluczowa warstwa obrony przeciwko temu wariantowi. Mechanizmy jak Windows Driver Block List i monitoring instalacji sterowników mają tu bezpośrednie zastosowanie.
Obserwuj anomalie w spoolsv.exe i svchost.exe. WIN_PLUS nadużywa bufora wydruku jako punktu startowego i wstrzykuje się do svchost. Nietypowe zachowanie tych procesów — szczególnie spoolsv uruchamiający procesory wydruku, których nie powinno być, albo svchost z nietypowymi połączeniami sieciowymi — to sygnał do zbadania. Jeśli nie używasz usługi bufora wydruku na danym serwerze, jej wyłączenie usuwa ten wektor.
Nie polegaj wyłącznie na skanach portów. Pasywny backdoor WIN_DRV z definicji nie pokaże otwartego portu. Wykrywanie wymaga analizy na poziomie hosta — integralności jądra, nieoczekiwanych sterowników, anomalii procesów — nie skanowania sieciowego z zewnątrz.
Źródła
ESET / WeLiveSecurity — oryginalny research z pełną analizą obu wariantów i wskaźnikami kompromitacji: https://www.welivesecurity.com/en/eset-research/fishmongers-arsenal-upgraded-sprysocks-windows/
The Hacker News — omówienie mechanizmów WIN_DRV i WIN_PLUS oraz kontekst grupy: https://thehackernews.com/2026/06/china-linked-sprysocks-backdoor-expands.html
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł