SprySOCKS-Malware: Chinesische Hackergruppe greift Windows-Regierungen an
16.06.2026 - 16:16:01 | boerse-global.de
Sicherheitsforscher von ESET haben neue Windows-Varianten der SprySOCKS-Malware entdeckt, die von der chinesischen Gruppe Earth Lusca gegen Regierungen in Asien und Lateinamerika eingesetzt werden.
Die als Earth Lusca (auch FishMonger oder Aquatic Panda) bekannte Gruppe hatte ihre Werkzeuge bislang vor allem auf Linux-Systeme ausgerichtet. Nun zeigen die Funde der slowakischen Sicherheitsspezialisten, dass die Hackergruppe ihr Arsenal deutlich erweitert hat.
Angesichts der zunehmenden Professionalität staatlich gelenkter Spionagegruppen müssen Unternehmen ihre Sicherheitsstrategien grundlegend überdenken. Experten erklären in diesem kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Checkliste zur Abwehr von Cyberangriffen jetzt kostenlos sichern
Gezielte Angriffe auf Regierungsnetzwerke
Die neuen Windows-Varianten mit den Bezeichnungen WIN_DRV und WIN_PLUS kamen zwischen 2023 und 2024 bei Angriffen auf Regierungsbehörden in Taiwan, Thailand, Pakistan und Honduras zum Einsatz. Die Gruppe steht in Verbindung mit dem chinesischen Technologie-Dienstleister iSoon – ein Hinweis auf staatlich gelenkte Spionage.
Rootkit-Funktionen auf Treiberebene
Die WIN_DRV-Version setzt auf besonders raffinierte Technik: Ein Kernel-Mode-Treiber namens RawWNPF wird mithilfe eines signierten, legitimen Treibers geladen und übernimmt Rootkit-Funktionen. Damit kann die Malware Prozesse, Dateien, Registry-Einträge und aktive Netzwerkverbindungen vor dem Betriebssystem verstecken.
Die Schadsoftware unterstützt mehr als 30 verschiedene Steuerungsbefehle – darunter Keylogging, die Überwachung der Zwischenablage und die Umleitung von TCP-Datenverkehr. Um dauerhaft im System zu bleiben, nutzt sie mehrere Techniken parallel: geplante Tasks, IFEO-Hijacking und Process Doppelgänging.
Zweite Variante mit Drucker-Trick
Die WIN_PLUS-Version verfolgt einen anderen Ansatz: Sie tarnt sich als bösartiger Windows Print Processor. Eine spezielle Bibliotheksdatei sorgt dafür, dass die Malware bei jedem Start des Druckspooler-Dienstes ausgeführt wird. Die ESET-Forscher fanden zudem Hinweise, dass die Gruppe möglicherweise die Sicherheitslücke CVE-2023-24932 ausnutzt – eine Schwachstelle, die das Umgehen von Secure-Boot-Schutzmechanismen erlaubt, vermutlich über ein UEFI-Bootkit.
Wenn Schadsoftware wie UEFI-Bootkits das System auf Kernelebene kompromittiert, hilft oft nur noch eine saubere Neuinstallation von einem externen Medium. Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick erstellen und im Notfall richtig einsetzen. Anleitung zum Windows 11 Boot-Stick gratis herunterladen
Parallel-Aktivitäten in Nordamerika
Fast zeitgleich veröffentlichte Google Threat Intelligence Erkenntnisse über eine weitere chinesische Spionagegruppe namens UNC6508. Seit September 2023 ist diese Gruppe in Nordamerika aktiv und hat medizinische Einrichtungen, Militär- und KI-Forschungseinrichtungen in den USA und Kanada angegriffen.
Die Angreifer nutzen eine Hintertür namens InfiniteRed, um REDCap-Server zu kompromittieren – eine Plattform, die häufig in der klinischen Forschung eingesetzt wird. Google berichtet, dass die Hacker Daten über Google-Workspace-Compliance-Regeln an ein externes Konto weiterleiteten. Zu den gestohlenen Informationen gehörten Forschungsdaten zu Drohnentechnologie und Verteidigungssystemen. Google hat die verwendeten Konten inzwischen deaktiviert.
Die zeitgleichen Berichte von ESET und Google zeichnen das Bild einer anhaltenden, hochprofessionellen Cyber-Spionage-Kampagne chinesischer Akteure, die zunehmend plattformspezifische Malware entwickeln und Sicherheitslücken auf allen Ebenen ausnutzen – von der Server-Software bis zur System-Firmware.
