A evolução das ameaças cibernéticas mostra que os criminosos e grupos de espionagem não estão mais limitados a um único sistema operacional. O malware SprySOCKS, originalmente desenvolvido para ambientes Linux, é um exemplo claro dessa tendência. Agora, pesquisadores identificaram novas variantes capazes de operar também em sistemas Windows, ampliando significativamente a superfície de ataque utilizada em campanhas de espionagem.
A descoberta foi realizada pela ESET, que revelou que o grupo Earth Lusca, conhecido por conduzir operações de espionagem cibernética altamente sofisticadas, expandiu seu arsenal com versões inéditas do backdoor SprySOCKS para Windows. O objetivo continua sendo o mesmo: obter acesso persistente, furtivo e duradouro a redes estratégicas, especialmente em órgãos governamentais.
O caso chama a atenção porque demonstra uma mudança importante no cenário de ameaças. Ferramentas antes associadas exclusivamente ao ecossistema Linux agora estão sendo adaptadas para ambientes híbridos, onde servidores Linux e estações Windows coexistem. Para administradores de sistemas e equipes de segurança, isso representa um desafio crescente na detecção e mitigação de ataques avançados.
De ameaça Linux a rootkit Windows: As novas variantes do malware SprySOCKS
O SprySOCKS já era conhecido como uma ferramenta de acesso remoto utilizada em operações de espionagem. Sua principal função é estabelecer comunicação entre sistemas comprometidos e servidores de comando e controle (C2), permitindo que operadores executem comandos, movimentem dados e mantenham acesso prolongado aos dispositivos infectados.
Segundo a análise da ESET, o grupo Earth Lusca desenvolveu duas novas variantes para Windows, chamadas WIN_DRV e WIN_PLUS. Embora compartilhem parte da lógica operacional do malware original, cada uma foi criada para cumprir funções específicas dentro da cadeia de comprometimento.
A adoção dessas variantes demonstra uma evolução estratégica. Em vez de depender exclusivamente de implantes Linux, os operadores agora conseguem atuar em múltiplas plataformas usando técnicas adaptadas para cada ambiente.
Variante WIN_DRV e a ocultação no kernel
A variante WIN_DRV é considerada a mais sofisticada das duas.
Ela opera por meio de um driver malicioso, permitindo que o malware execute atividades em nível de kernel, a camada mais privilegiada do sistema operacional Windows. Essa abordagem oferece vantagens significativas para os invasores, principalmente no que diz respeito à furtividade.
Ao atuar no kernel, o malware consegue manipular o tráfego de rede antes que ele seja processado por mecanismos convencionais de monitoramento. Isso dificulta a detecção por ferramentas tradicionais de segurança.
Um dos aspectos mais interessantes observados pelos pesquisadores é a capacidade de contornar o fluxo normal de comunicação baseado em TCP. Em vez de utilizar os métodos convencionais do sistema operacional, o malware implementa mecanismos próprios para trocar informações com a infraestrutura de comando e controle.
Essa técnica reduz a visibilidade das conexões maliciosas e aumenta as chances de permanência dentro da rede comprometida. Na prática, trata-se de uma abordagem semelhante à utilizada por alguns dos rootkits mais avançados observados nos últimos anos.
Além disso, a execução em nível de kernel permite ocultar processos, atividades de rede e outros artefatos que normalmente seriam monitorados por soluções de defesa corporativa.
Variante WIN_PLUS: Persistência simplificada
A segunda variante identificada, chamada WIN_PLUS, apresenta um conjunto de recursos mais enxuto.
Embora não possua o mesmo nível de sofisticação da versão baseada em driver, ela continua sendo uma ferramenta eficiente para garantir acesso contínuo aos sistemas comprometidos.
Seu principal diferencial está nos mecanismos de persistência. A variante utiliza componentes conhecidos como VSPMsg, responsáveis por assegurar que o malware seja executado novamente após reinicializações do sistema.
Essa estratégia é amplamente utilizada por operadores de ameaças persistentes avançadas (APTs), pois garante que o acesso não seja perdido mesmo após ações básicas de manutenção realizadas pelos administradores.
Outro ponto importante é que a simplicidade da variante pode ser uma vantagem operacional. Soluções menos complexas costumam gerar menos comportamentos suspeitos, reduzindo as chances de acionarem mecanismos automáticos de detecção.
Assim, o malware SprySOCKS passa a contar com duas abordagens complementares: uma altamente furtiva e baseada em kernel, e outra focada em persistência eficiente e implantação mais simples.
O modus operandi do grupo Earth Lusca
O grupo Earth Lusca, também conhecido pelos nomes FishMonger e Aquatic Panda, é associado a campanhas de espionagem direcionadas a entidades governamentais, organizações de pesquisa, instituições acadêmicas e setores estratégicos.
Ao longo dos últimos anos, o grupo acumulou um histórico de operações complexas envolvendo malware personalizado, exploração de vulnerabilidades e técnicas avançadas de persistência.
Segundo os pesquisadores, as campanhas recentes envolvendo as variantes do SprySOCKS atingiram organizações localizadas em países como Taiwan, Tailândia, Paquistão e Honduras.
O padrão observado indica um forte interesse em informações governamentais e estratégicas. Em muitos casos, os invasores priorizam o acesso silencioso e prolongado em vez de ações destrutivas ou operações de ransomware.
Outro detalhe relevante é a possível relação do grupo com atividades envolvendo a vulnerabilidade CVE-2023-24932, uma falha associada ao mecanismo Secure Boot do Windows.
Essa vulnerabilidade ganhou notoriedade por permitir cenários relacionados à instalação de bootkits UEFI, uma das formas mais perigosas de comprometimento atualmente conhecidas. Diferentemente dos malwares tradicionais, bootkits conseguem operar antes mesmo do carregamento completo do sistema operacional.
Embora a ligação entre os incidentes não tenha sido confirmada de forma definitiva, os pesquisadores destacam que a combinação de técnicas em nível de firmware, kernel e sistema operacional representa uma evolução preocupante nas capacidades do grupo.
Malware SprySOCKS e o desafio das redes híbridas
A descoberta das variantes Windows reforça uma tendência cada vez mais evidente no cenário de ameaças modernas: os atacantes estão desenvolvendo ferramentas capazes de funcionar em diferentes plataformas.
Durante muitos anos, organizações trataram servidores Linux e estações Windows como ambientes separados sob a perspectiva de segurança. Hoje, essa distinção se torna menos relevante diante de ameaças multiplataforma.
Para equipes de segurança, isso significa ampliar a visibilidade sobre todos os sistemas da infraestrutura, monitorar atividades em nível de kernel, fortalecer mecanismos de detecção comportamental e manter políticas rigorosas de atualização.
Também se torna fundamental investir em estratégias de defesa em profundidade, incluindo monitoramento de tráfego, segmentação de rede, proteção de endpoints e análise contínua de indicadores de comprometimento.
Conclusão: O impacto para a segurança de redes híbridas
A evolução do malware SprySOCKS de uma ameaça focada em Linux para uma plataforma capaz de operar também no Windows demonstra como os grupos de espionagem estão adaptando rapidamente suas ferramentas para ambientes corporativos modernos.
As variantes WIN_DRV e WIN_PLUS mostram que o Earth Lusca continua investindo em técnicas avançadas de ocultação, persistência e evasão, tornando suas operações cada vez mais difíceis de detectar.
Para administradores de sistemas, profissionais de segurança e gestores de TI, a principal lição é clara: a proteção de ambientes híbridos exige monitoramento contínuo e uma visão integrada de toda a infraestrutura, independentemente do sistema operacional utilizado.