Siber güvenlik şirketi ESET, daha önce yalnızca Linux için geliştirilmiş olduğu bilinen SprySOCKS arka kapısının iki yeni Windows varyantını keşfetmiştir. Bu arka kapı aracı, I-SOON adlı Çinli yüklenici tarafından yönetilen FishMonger siber casusluk grubu tarafından kullanılmaktadır. ESET telemetri verilerine göre, gerçek faaliyetler 2023 ile 2024 yılları arasında Honduras, Tayvan, Tayland ve Pakistan'da faaliyet göstermiş ve çoğunlukla devlet kurumlarını hedeflemişlerdir.
WIN_DRV varyantı, 30'dan fazla Komuta ve Kontrol (C&C) komutunu desteklemektedir. Bu komutlar arasında sistem bilgisi toplama, işlem numaralandırması, hizmet yönetimi ve dosya yönetimi işlevleri (oluşturma, silme, aktarma) yer almaktadır. Arka kapının temel işlevselliğine ek olarak, FishMonger'ın implantı gelişmiş gizlilik sağlamak için bir kernel sürücüsünü kullanmaktadır. SprySOCKS, bu sürücü aracılığıyla kötü amaçlı yazılımın ağ bağlantılarını, işlemlerini, dosyalarını ve kayıt defteri anahtarlarını gizlemekte; TCP trafiğinin yeniden yönlendirilmesini sağlayarak saldırganların gerçek dinleme portunu açığa çıkarmadan rastgele bir TCP portası üzerinden komut göndermesine olanak tanımaktadır.
ESET araştırmacısı Martin Smolár, Windows varyantının Linux sürümünün temel mimarisinin çoğunu koruduğunu, ancak Windows'a özgü mekanizmalarla uyarlandığını belirtmiştir. Araştırmalar, bazı saldırı senaryolarında CVE-2023-24932 güvenlik açığını istismar eden bir UEFI bootkit bileşeni içerebileceğine dair sınırlı göstergeler ortaya koymaktadır. FishMonger, Winnti Grubu çatısı altında faaliyet gösteren ve Chengdu'dan operasyon yürüten siber casusluk grubu olarak bilinmektedir.
