څیړونکو د SprySOCKS بیکډور د Windows دوه غیر ثبت شوي ډولونه وموندل چې د چین اړوند FishMonger د ګواښ ډلې [1] سره تړلی دي.
دا پراختیا د دې ډلې په وړتیاوو کې یو مهم زیاتوالی ښیي. د پټو وسیلو په مرسته د Windows چاپمنټونو ته د لاسرسی په ترلاسه کولو سره، برید کوونکي کولی شي د معیاري امنیتي سافټویرونو څخه په ځان پټ ساتلو سره د حکومت د لوړ ارزښت شبکې ته اوږدمودتیاسس ساته کړي.
دې نویو ډولونو ته چې د ESET لخوا WIN_DRV او WIN_PLUS په نوم پیژندل شوي، د خپلې شتون پټولو لپاره د kernel-mode driver څخه ګټه پورته کوي [1]. دا تخنیکی بدلون مالویر ته اجازه ورکوي چې د عملیټس سیسټم په ژور peringkat کې کار {do} کړي، چې د مدیرانو لپاره یې موندل ستونزمن کوي. دا بیکډور له 30 څخه ډیرې کمانډونه ondersteکوي [1] او د کمانډ-او-کنټرول اړیکو لپاره TCP, UDP او WebSocket څخه ګټه اخلي [1].
د ESET ټیلمټري ښیي چې د دې ډلې فعالیتونه تر 2023-2024年 پورته رسېږي [2]. دې کمپاینونو په ځانګړي ډول په څلورو هیوادونو کې دولتي ادارې هدف ګرځولې دي [1]: ہونډوراس، تایوان، تایلنډ او پاکستان [2].
ESET په یوه راپور کې چې The Hacker News ته شریک شوی، ویلي: "وموندل شوي د Windows ډولونه په داخلي ډول د WIN_DRV او WIN_PLUS په نوم标记 شوي دي" [1].
د دې ځانګړو ډرایورونو کارول د جاسوسي یو پیچلی چلند وړاندې کوي. د اسیا او لاتین امریکا په څیر د متنوع جغرافیایي سیمو هدف کولو سره، دا ډله په مختلفو جیوسیاسي ساحو کې د معلوماتو راټولولو خپله ساحه پراخوي [2].
“نوي ډولونه د خپل شتون پټولو لپاره د kernel-mode driver څخه ګټه پورته کوي.”
د SprySOCKS د kernel drivers له لارې Windows ته انتقال ښیي چې FishMonger ډله د ساده انفکشن پر ځای د پاتې کیدو او پټون ته لومبیتوب ورکوي. د ہونډوراس او تایوان په څیر د متنوعو سیمو د حکومتي زیربناوو هدف کولو سره، دا ډله احتمالاً د چین اړوند ګټو لپاره د سیاسي او اداري معلوماتو راټولولو په nema کې پراخ پیمانه ستراتیژیک جاسوسي ترسره کوي.
