SprySOCKS: Chinesische Hackergruppe Earth Lusca erweitert Arsenal
16.06.2026 - 21:15:47 | boerse-global.de
SprySOCKS-Varianten erweitern das Arsenal der chinesischen Hackergruppe Earth Lusca.
Sicherheitsforscher haben neue Windows-Versionen der Schadsoftware SprySOCKS entdeckt, die in gezielten Cyberangriffen gegen Regierungsbehörden zum Einsatz kommen. Die Analyse des IT-Sicherheitsunternehmens ESET zeigt, dass die Gruppe Earth Lusca – auch bekannt als FishMonger oder iSoon – ihr Werkzeugportfolio deutlich ausbaut.
Von Linux auf Windows: Eine gefährliche Expansion
Anzeige: Die neuen Windows-Varianten von SprySOCKS nutzen Kernel-Mode-Treiber und verstecken sich vor Sicherheitssoftware. Earth Lusca zielt gezielt auf Regierungsbehörden – auch in Europa. Mit unserem kostenlosen Leitfaden erkennen Sie WIN_DRV und WIN_PLUS, bevor Schaden entsteht. Erkennungs-Leitfaden jetzt anfordern
Bislang war SprySOCKS vor allem als Linux-Bedrohung bekannt. Die neu identifizierten Windows-Varianten belegen jedoch, dass die Gruppe ihre Reichweite auf weitere Betriebssysteme ausdehnt. Die Angriffe fanden zwischen 2023 und 2024 statt. Im Fokus standen Regierungsorganisationen in Taiwan, Thailand, Pakistan und Honduras.
Die Gruppe, die von Analysten mit chinesischer Cyberspionage in Verbindung gebracht wird, setzt diese Windows-Versionen seit mindestens 2023 ein. Technische Gemeinsamkeiten mit dem Linux-Vorgänger sind unverkennbar: Beide nutzen identische Verschlüsselungsschlüssel und setzen auf das HP-Socket-Framework.
WIN_DRV und WIN_PLUS: Zwei Varianten, ein Ziel
ESET identifizierte zwei unterschiedliche Windows-Versionen der Malware: WIN_DRV und WIN_PLUS.
Die Variante WIN_DRV gilt als besonders ausgefeilt. Sie nutzt einen Kernel-Mode-Treiber namens RawWNPF, der mit einem gestohlenen Zertifikat signiert wurde. Dieser Treiber verleiht der Malware Rootkit-Fähigkeiten: Sie kann ihre eigenen Prozesse, Dateien und Registry-Einträge verstecken – selbst Netzwerkverbindungen bleiben für Sicherheitssoftware unsichtbar.
Zusätzlich leitet WIN_DRV den TCP-Datenverkehr um, um die Kommunikation mit dem Kommando-Server (C2) zu verschleiern. Die Persistenz auf infizierten Systemen wird über geplante Tasks oder sogenannte Image File Execution Options (IFEO) sichergestellt.
WIN_PLUS hingegen fungiert als einfachere Hintertür. Es registriert sich als Windows-Druckprozessor, um dauerhaft auf dem System zu bleiben. Trotz unterschiedlicher Methoden: Beide Varianten können mehr als 30 verschiedene C2-Befehle ausführen. Gemeinsamkeiten sind Keylogging-Funktionen und die Fähigkeit, als SOCKS-Proxy zu arbeiten.
Anzeige: Earth Lusca experimentiert mit UEFI-Bootkit-Exploits – die nächste Stufe der Bedrohung. CVE-2023-24932 könnte Ihre Systeme kompromittieren, noch bevor Windows bootet. Unser Report zeigt, wie Sie sich gegen diese Angriffe wappnen. UEFI-Abwehr-Report sichern
Tarnung und mögliche UEFI-Ausnutzung
Die Malware setzt stark auf Heimlichkeit. Durch die Kernel-Ebene und die Umleitung des Datenverkehrs versucht Earth Lusca, möglichst wenige Spuren zu hinterlassen. Forscher fanden zudem Hinweise darauf, dass die Gruppe mit einem UEFI-Bootkit-Exploit experimentiert haben könnte – konkret mit der Sicherheitslücke CVE-2023-24932. Dieser Angriffsvektor ist jedoch bislang nicht bestätigt.
Die neuen Windows-Varianten zeigen, wie sich das Arsenal von FishMonger weiterentwickelt. Mit Rootkit-Tarnung und verschiedenen Persistenzmechanismen bleibt die Gruppe eine ernste Gefahr für Regierungsinfrastrukturen in den betroffenen Regionen.
