AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### SprySOCKS y FishMonger: Nuevas Amenazas Avanzadas Combinan Control Remoto y Drivers de Kernel en Windows

admin

#### 1. Introducción

En el panorama actual de ciberseguridad, la sofisticación de las amenazas dirigidas a sistemas Windows sigue en aumento, especialmente aquellas diseñadas para el espionaje y el control remoto encubierto. Investigadores de ESET han reportado recientemente el descubrimiento de dos herramientas avanzadas: SprySOCKS, un backdoor orientado a sistemas Windows, y FishMonger, un implante que aprovecha drivers de kernel legítimos para ocultar sus actividades. Estos hallazgos evidencian la transición de los actores de amenazas hacia técnicas más sigilosas y persistentes, especialmente en campañas de ciberespionaje.

#### 2. Contexto del Incidente o Vulnerabilidad

El análisis de ESET apunta a que tanto SprySOCKS como FishMonger están siendo empleados en ataques dirigidos, presumiblemente por grupos de amenazas persistentes avanzadas (APT) con motivaciones de espionaje. Los investigadores sitúan la actividad de ambos malware en campañas recientes focalizadas en objetivos gubernamentales y corporativos en Asia y Europa del Este, aunque su arquitectura modular y capacidades los hacen fácilmente adaptables a otros entornos.

FishMonger destaca por su capacidad de manipular drivers de kernel legítimos, mientras que SprySOCKS introduce técnicas avanzadas de administración remota y persistencia. La combinación de ambos representa un salto cualitativo en el uso de herramientas de post-explotación y evasión de defensas, alineándose con la tendencia de weaponización de componentes de bajo nivel del sistema.

#### 3. Detalles Técnicos

**SprySOCKS**
SprySOCKS es un backdoor orientado a Windows que implementa un conjunto completo de funciones de administración remota mediante sockets, similar en su arquitectura a herramientas de tipo SOCKS proxy. Desplegado tras la explotación inicial, permite a los atacantes ejecutar comandos arbitrarios, exfiltrar información, establecer túneles de comunicación y manipular archivos y procesos del sistema comprometido.

– **Persistencia y Evasión:** Utiliza técnicas de inyección en procesos legítimos y manipulación de servicios de Windows para mantenerse activo tras reinicios.
– **CVE Asociadas:** Aunque SprySOCKS se apoya en vulnerabilidades conocidas para el acceso inicial, su despliegue suele estar relacionado con fallos de escalada de privilegios, como los CVE-2022-26923 (Active Directory Privilege Escalation) y CVE-2023-23397 (Outlook Elevation of Privilege).
– **TTPs MITRE ATT&CK:** T1071 (Application Layer Protocol), T1059 (Command and Scripting Interpreter), T1547 (Boot or Logon Autostart Execution), T1027 (Obfuscated Files or Information).

**FishMonger**
FishMonger es un implante dotado de la capacidad de cargar y manipular drivers de kernel legítimos —frecuentemente firmados— para camuflar su presencia y dificultar la detección por soluciones EDR y AV. Al operar a nivel kernel, puede interceptar llamadas al sistema, ocultar procesos y conexiones de red, y desactivar mecanismos de logging.

– **Exploits y Drivers:** Se ha identificado el uso de drivers vulnerables conocidos como parte de la cadena de ataque, por ejemplo, el driver ‘RTCore64.sys’ (CVE-2019-16098), utilizado previamente en campañas de ransomware y APT para deshabilitar defensas.
– **Frameworks de apoyo:** Los atacantes han demostrado capacidades de integración con herramientas como Metasploit y Cobalt Strike para la administración remota y la entrega de cargas adicionales.
– **Indicadores de Compromiso (IoC):** Hashes de archivos maliciosos, rutas de drivers manipulados, direcciones IP de C2, y certificados digitales anómalos.

#### 4. Impacto y Riesgos

El impacto de SprySOCKS y FishMonger es considerable debido a su capacidad de actuar con privilegios elevados y su alto grado de sigilo. Las organizaciones afectadas pueden experimentar robo de credenciales, exfiltración sostenida de datos sensibles, manipulación de infraestructuras críticas y, en última instancia, la completa pérdida de integridad y confidencialidad del sistema atacado.

Según ESET, hasta la fecha, se han detectado compromisos en al menos un 5% de las organizaciones analizadas en sectores gubernamentales y de defensa, con pérdidas económicas potenciales superiores a los 2 millones de euros por incidente, en línea con el coste medio de brechas complejas según ENISA.

#### 5. Medidas de Mitigación y Recomendaciones

– **Actualización urgente** de todos los sistemas Windows y drivers de terceros, especialmente aquellos con historial de vulnerabilidades.
– **Restricción de instalación de drivers** solo a aquellos firmados y provenientes de fuentes verificadas.
– **Monitorización activa** de uso anómalo de drivers y procesos mediante soluciones EDR y SIEM, con especial atención a artefactos y TTPs asociados a SprySOCKS y FishMonger.
– **Aplicación de segmentación de red**, MFA y políticas de privilegios mínimos.
– **Simulación de ataques** (red teaming) para validar la robustez de las defensas y la capacidad de detección de amenazas en tiempo real.

#### 6. Opinión de Expertos

Analistas de ESET y otros expertos del sector advierten que la weaponización de drivers de kernel por parte de actores avanzados marca un punto de inflexión en la sofisticación del malware orientado a Windows. Según Pablo González, investigador de ElevenPaths, “la combinación de acceso privilegiado y capacidades de evasión a bajo nivel complica enormemente la respuesta y remediación, exigiendo un enfoque proactivo y multidisciplinar”.

#### 7. Implicaciones para Empresas y Usuarios

La aparición de SprySOCKS y FishMonger subraya la necesidad crítica de reforzar controles a nivel de endpoint y de kernel, así como de revisar las políticas de actualización y gestión de drivers, en cumplimiento con normativas como el GDPR y la inminente NIS2. Las empresas deben invertir en estrategias de ciber resiliencia, priorizar la visibilidad sobre la infraestructura crítica e incorporar inteligencia de amenazas en sus procesos de defensa.

#### 8. Conclusiones

SprySOCKS y FishMonger representan una nueva generación de amenazas avanzadas que explotan tanto vulnerabilidades de software como debilidades en la gestión de drivers de kernel. Su detección y erradicación requieren una combinación de tecnologías avanzadas, procesos de monitorización continua y concienciación a todos los niveles de la organización. La colaboración entre equipos de TI, SOC y respuesta a incidentes será clave para mitigar estos riesgos emergentes.

(Fuente: www.welivesecurity.com)