Siber güvenlik şirketi ESET, I-SOON adlı Çinli bir yüklenici tarafından yönetildiği düşünülen FishMonger grubu tarafından kullanılan SprySOCKS yazılımının daha önce belgelenmemiş iki Windows varyantını keşfetti. Örnek yazılımlar ilk olarak Nisan 2024'te kaydedilmişse de, telemetri verileri 2023-2024 arasında aktif saldırılar gösteriyor. Honduras, Tayvan, Tayland ve Pakistan'daki devlet kurumları başlıca hedefleri arasında yer aldı.
WIN_DRV varyantı, sistem bilgisi toplama, dosya yönetimi ve işlem numaralandırması gibi işlevleri destekleyen 30'dan fazla komuta ve kontrol komutu içeriyor. Yazılım, gelişmiş gizlilik için bir çekirdek sürücü kullanarak kötü amaçlı trafiği ve işlemleri saklar. Bu sürücü sayesinde operatörler, kurban cihazındaki rastgele bir TCP bağlantı noktası üzerinden arka kapıya erişebiliyor.
Winnti Grubu çatısı altında yer alan FishMonger, Earth Lusca, TAG-22, Aquatic Panda ve Red Dev 10 gibi adlarla da bilinmektedir. Bazı saldırı senaryolarının UEFI bootkit bileşeni içerebileceğine dair sınırlı göstergeler bulunuyor. ESET araştırmacıları, grubun faaliyetlerinin yakından izlenmesini tavsiye ediyor.
