En bref

  • ESET a identifié deux variantes Windows inédites du backdoor SprySOCKS, jusqu'ici connu uniquement sur Linux, développées par le groupe FishMonger lié au contractant chinois I-Soon.
  • La variante WIN_DRV intègre un driver noyau (RawWNPF) pour masquer les processus, fichiers, connexions réseau et clés de registre du malware sur les systèmes compromis.
  • Les cibles documentées incluent des organismes gouvernementaux au Honduras, Taiwan, Thaïlande et Pakistan, avec une activité réelle tracée dès 2023.

Un backdoor Linux reconverti en menace Windows avec stealth noyau

Des chercheurs d'ESET ont publié en juin 2026 une analyse détaillée de deux variantes Windows jusqu'ici inconnues du backdoor SprySOCKS, un outil malveillant associé au groupe FishMonger, lui-même fortement lié au contractant chinois I-Soon — la société dont des milliers de documents internes avaient fuité sur GitHub en 2024, révélant l'ampleur des activités d'espionnage commanditées par le gouvernement de Pékin. SprySOCKS était jusqu'à présent documenté exclusivement sur Linux, où il avait été utilisé dans des campagnes d'espionnage ciblant des infrastructures gouvernementales et de défense à travers l'Asie du Sud-Est et au-delà.

Les deux nouvelles variantes, baptisées WIN_DRV et WIN_PLUS en référence à leur marquage interne, correspondent à la version 1.8 de SprySOCKS. Leur architecture de base reprend les capacités de la version Linux : support de plus de 30 commandes couvrant la collecte d'informations système, l'énumération des processus actifs, la gestion des services Windows, les opérations sur le système de fichiers, et la communication avec un serveur de commande et contrôle (C2) via plusieurs protocoles — TCP, UDP et WebSocket. Cette polyvalence protocolaire complique la détection par les systèmes de filtrage réseau qui ne surveillent que les flux TCP standards.

La différenciation majeure entre WIN_DRV et WIN_PLUS réside dans le mécanisme de stealth. WIN_DRV intègre un driver en mode noyau baptisé RawWNPF, stocké sous le nom de fichier KW1B5206BDC1743FP.dat pour éviter les détections basées sur des noms de fichiers connus. Ce driver, chargé au niveau du noyau Windows (ring 0), intercepte les appels système pour masquer activement la présence du malware : il cache les processus SprySOCKS dans les listes de processus du système d'exploitation, rend invisibles les fichiers associés, dissimule les connexions réseau établies par le backdoor dans les tables de connexions, et occulte les clés de registre utilisées pour la persistance. Résultat : sur un système infecté par WIN_DRV, les outils d'analyse conventionnels — Gestionnaire des tâches, netstat, Regedit — ne révèlent aucune anomalie.

WIN_PLUS, la seconde variante, n'intègre pas ce driver noyau mais compense par une configuration C2 codée en dur et une communication plus furtive. Les deux variantes disposent d'une configuration C2 hard-codée à leur compilation, ce qui simplifie leur déploiement opérationnel mais complique leur pivotement si l'infrastructure C2 est neutralisée. ESET a corrélé ces deux échantillons à des activités réelles observées dans sa télémétrie dès 2023 et 2024, principalement contre des entités gouvernementales au Honduras, à Taiwan, en Thaïlande et au Pakistan — une sélection géographique cohérente avec les intérêts stratégiques documentés de Pékin dans ces régions.

L'attribution à FishMonger repose sur plusieurs éléments convergents. D'abord, des chevauchements de code significatifs avec les versions Linux de SprySOCKS déjà attribuées à ce groupe par des analyses antérieures d'ESET et de Trend Micro (qui avait documenté SprySOCKS sous le nom Earth Lusca). Ensuite, des similitudes dans les patterns de communication C2 et dans les conventions de nommage des fichiers malveillants. Enfin, les victimologies concordantes : FishMonger cible historiquement les administrations gouvernementales et les institutions académiques dans les pays périphériques à la Chine et dans ses zones d'influence économique.

I-Soon, l'entreprise mère de FishMonger, avait été exposée en détail lors de la fuite de 2024 qui avait mis en lumière un écosystème de contractants privés travaillant directement pour le ministère de la Sécurité d'État (MSS) et l'Armée populaire de libération (APL). Les documents divulgués décrivaient des tarifs pour accès aux systèmes selon le pays cible, des bonus pour la compromission de cibles gouvernementales, et une organisation quasi-industrielle de la collecte de renseignement cyber. SprySOCKS Windows s'inscrit dans la continuité de cet industrialisme offensif : adapter des outils existants à de nouvelles plateformes pour maintenir l'efficacité opérationnelle avec un minimum de redéveloppement.

Du point de vue défensif, la détection de WIN_DRV représente un défi particulier. Les solutions EDR (Endpoint Detection and Response) opérant au niveau utilisateur sont aveuglées par le driver noyau. La détection efficace nécessite des outils capables d'analyse à bas niveau — hyperviseur, inspection mémoire, ou solutions utilisant elles-mêmes des drivers noyau pour contrer les rootkits. ESET a partagé les indicateurs de compromission (IoC) associés aux deux variantes, incluant des hashes cryptographiques des binaires et les serveurs C2 identifiés lors de l'analyse.

La publication d'ESET constitue également un cas d'école sur la résilience des groupes APT face aux expositions publiques. Malgré la fuite massive de 2024 ayant révélé une partie de leur infrastructure et de leurs méthodes, FishMonger a non seulement maintenu ses opérations mais les a étendues à une nouvelle plateforme. Ce pattern de résilience est commun aux groupes soutenus par des États : les arrestations ou expositions n'entrainent généralement pas la dissolution du groupe mais une réorganisation et une adaptation tactique.

La montée en gamme des outils d'espionnage chinois vers Windows

L'extension de SprySOCKS à Windows marque une étape stratégique dans l'évolution des outils offensifs des groupes APT chinois. Jusqu'à présent, les campagnes documentées de FishMonger et des groupes associés (Earth Lusca, RedHotel) ciblaient préférentiellement les serveurs Linux exposés — serveurs web, appliances VPN, systèmes de messagerie — parce que ceux-ci représentaient les points d'entrée les plus accessibles dans les réseaux cibles. L'ajout d'une capacité Windows indique une volonté de s'implanter plus profondément dans les réseaux compromis, en se déplaçant latéralement vers les postes de travail des décideurs et les serveurs Windows qui hébergent les bases de données et les partages de fichiers sensibles.

La décision d'intégrer un driver noyau dans WIN_DRV reflète une montée en sophistication technique notable. Le développement et le déploiement de rootkits noyau sur Windows présentent des contraintes importantes depuis l'introduction de Kernel Patch Protection (PatchGuard) et du Driver Signature Enforcement (DSE) par Microsoft. Contourner ces mécanismes sans déclencher d'alertes nécessite soit une signature de code volée, soit le détournement d'un driver légitime vulnérable (technique BYOVD — Bring Your Own Vulnerable Driver). ESET n'a pas encore publié les détails complets du mécanisme de chargement du driver RawWNPF, mais l'analyse en cours devrait clarifier si FishMonger exploite une vulnérabilité de driver connue ou dispose d'un certificat de signature compromis.

Dans le contexte géopolitique de 2026, marqué par des tensions accrues autour de Taïwan et par une recrudescence des opérations de cyber-espionnage ciblant les alliés américains en Asie-Pacifique, la découverte de SprySOCKS Windows est un signal d'alarme pour toutes les organisations susceptibles de figurer dans les priorités du renseignement chinois — y compris les entreprises européennes opérant dans les secteurs de la défense, de la haute technologie, du maritime et de l'énergie. Les tensions commerciales autour des semi-conducteurs et de l'IA ont élargi le périmètre des cibles potentielles bien au-delà du traditionnel complexe militaro-industriel.

Pour les équipes de sécurité, la publication des IoC par ESET doit être intégrée en priorité dans les règles de détection SIEM et dans les listes de blocage des solutions EDR. Les organisations gérant des données sensibles en lien avec des projets gouvernementaux ou des technologies stratégiques devraient envisager un audit de leurs endpoints Windows avec des outils spécialisés en détection de rootkits noyau, comme les scanners offline capables d'analyser la mémoire et les drivers chargés indépendamment du système d'exploitation compromis.

Ce qu'il faut retenir

  • SprySOCKS dispose désormais de variantes Windows avec driver noyau (rootkit) — les EDR conventionnels peuvent être contournés, nécessitant des outils de détection spécialisés.
  • FishMonger (I-Soon) cible en priorité les gouvernements en Asie, mais les entreprises européennes des secteurs défense, technologie et énergie sont dans leur périmètre d'intérêt.
  • Intégrer les IoC ESET dans les règles SIEM/EDR et vérifier l'absence du fichier KW1B5206BDC1743FP.dat (driver RawWNPF) sur les endpoints sensibles.

Comment détecter SprySOCKS WIN_DRV malgré le rootkit noyau sur Windows ?

La détection in-vivo est complexe car le driver noyau masque les artefacts habituels. Les approches recommandées incluent : l'analyse offline depuis un OS de confiance externe ; l'utilisation d'outils de détection de rootkits capables d'opérer par hyperviseur ; la recherche du fichier KW1B5206BDC1743FP.dat dans les répertoires système en analysant le disque depuis un système sain ; et la corrélation des hashes de drivers chargés en mémoire avec les bases de données de drivers légitimes signés Microsoft.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact