{"id":1208,"date":"2026-06-16T13:07:42","date_gmt":"2026-06-16T13:07:42","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/16\/la-puerta-trasera-sprysocks-vinculada-a-china-se-expande-a-windows-con-sigilo-basado-en-controladores-cyberdefensa-mx\/"},"modified":"2026-06-16T13:07:42","modified_gmt":"2026-06-16T13:07:42","slug":"la-puerta-trasera-sprysocks-vinculada-a-china-se-expande-a-windows-con-sigilo-basado-en-controladores-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/16\/la-puerta-trasera-sprysocks-vinculada-a-china-se-expande-a-windows-con-sigilo-basado-en-controladores-cyberdefensa-mx\/","title":{"rendered":"La puerta trasera SprySOCKS vinculada a China se expande a Windows con sigilo basado en controladores \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han detectado dos variantes de Windows no documentadas previamente de lo que se cre\u00eda que era una puerta trasera exclusiva para Linux llamada SprySOCKS<\/b>.<\/p>\n

\u00abLas variantes de Windows descubiertas est\u00e1n marcadas internamente como WIN_DRV y WIN_PLUS\u00bb, ESET dicho<\/a> en un informe compartido con The Hacker News. \u00abAmbos vienen con un C&C codificado [command-and-control] configuraci\u00f3n y soporte de comunicaci\u00f3n a trav\u00e9s de protocolos TCP, UDP y WebSocket.\u00bb<\/p>\n

Al igual que su contraparte de Linux, las versiones de Windows admiten m\u00e1s de 30 comandos para facilitar la recopilaci\u00f3n de informaci\u00f3n del sistema, la enumeraci\u00f3n de procesos, la gesti\u00f3n de servicios y las operaciones del sistema de archivos. Tambi\u00e9n se ha descubierto que WIN_DRV utiliza controladores del kernel para ocultar las conexiones de red, los procesos, los archivos y las claves de registro del malware.<\/p>\n

Adem\u00e1s, la variante habilita el desv\u00edo del tr\u00e1fico TCP que permite a los operadores de malware enviar comandos a la puerta trasera a trav\u00e9s de un puerto TCP aleatorio en el dispositivo de la v\u00edctima sin exponer el puerto de escucha real de la puerta trasera en el tr\u00e1fico de la red.<\/p>\n

SprySOCKS fue documentado p\u00fablicamente por primera vez por Trend Micro en septiembre de 2023, atribuyendo su uso a un actor de amenazas patrocinado por el estado del nexo de China conocido como Earth Lusca, que tambi\u00e9n es rastreado por la comunidad de ciberseguridad bajo los apodos Aquatic Panda, Bronze University, Charcoal Typhoon y RedHotel. Se considera que el adversario est\u00e1 activo desde al menos 2021 y operado<\/a> por un contratista chino llamado i-Soon.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El proveedor eslovaco de ciberseguridad, que asign\u00f3 el nombre FishMonger al grupo de amenazas, lo describi\u00f3 como un grupo de ciberespionaje que cae bajo el paraguas m\u00e1s amplio de Winnti. En un informe publicado en marzo de 2025, la compa\u00f1\u00eda vincul\u00f3 al grupo de piratas inform\u00e1ticos con una campa\u00f1a global denominada Operaci\u00f3n FishMedley dirigida a siete organizaciones en Taiw\u00e1n, Hungr\u00eda, Turqu\u00eda, Tailandia, Francia y Estados Unidos entre enero y octubre de 2022.<\/p>\n

SprySOCKS se basa en un troyano de acceso remoto de Windows llamado Trochilus y comparte varias caracter\u00edsticas comunes con rojohojas<\/a>una puerta trasera que tambi\u00e9n muestra un extenso c\u00f3digo fuente que se superpone con Trochilus. Es m\u00e1s, el uso de Trochilus est\u00e1 vinculado a otro actor de amenazas chino conocido como Webworm, que, a su vez, tiene puntos en com\u00fan tanto con FishMonger como con SixLittleMonkeys.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Cadena de ejecuci\u00f3n WIN_DRV<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Las variantes de Windows son parte de la versi\u00f3n 1.8 de SprySOCKS, con el Muestra WIN_DRV<\/a> utilizando un controlador de kernel denominado RawWNPF (\u00abKW1B5206BDC1743FP.dat\u00bb) para un sigilo avanzado, conservando al mismo tiempo la funcionalidad presente en la variante de Linux. El controlador se carga utilizando otro controlador de kernel cifrado llamado DriverLoader (\u00abKX1B5206BDC1743DD.dat\u00bb).<\/p>\n

La cadena de ataque utiliza una ruta de acceso inicial a\u00fan indeterminada para eliminar un script por lotes, que luego crea y ejecuta una tarea programada responsable de activar una cadena de carga lateral de DLL que elimina la puerta trasera SprySOCKS y los componentes del controlador. Sin embargo, vale la pena se\u00f1alar que el grupo ha explotado previamente fallas de seguridad de N d\u00edas en instancias p\u00fablicas de Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI y Zimbra para hacerse un hueco.<\/p>\n

\u00abLa versi\u00f3n de Windows conserva la mayor parte de la arquitectura central de su predecesor Linux, incluido el protocolo C&C, el cifrado utilizado y la l\u00f3gica general de manejo de comandos, al tiempo que sustituye los mecanismos nativos de Windows cuando sea necesario y mejora el sigilo de la puerta trasera al incorporar los controladores del kernel al juego\u00bb, dijo el investigador de ESET Martin Smol\u00e1r.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Cadena de ejecuci\u00f3n WIN_PLUS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u00abLas diferencias m\u00e1s notables se pueden detectar en la forma en que se carga la puerta trasera final, en el sigilo mejorado y en los nombres de los componentes y las rutas utilizadas.<\/p>\n

El esquema de ejecuci\u00f3n WIN_PLUS, por el contrario, adopta un enfoque diferente. Aprovecha el servicio Print Spooler de Windows (\u00abspoolsv.exe\u00bb) como punto de partida para ejecutar un cargador de primera etapa que se ejecuta como un procesador de impresi\u00f3n<\/a>. Est\u00e1 dise\u00f1ado para inyectar y ejecutar un cargador SprySOCKS en un proceso \u00absvchost.exe\u00bb reci\u00e9n creado para iniciar la puerta trasera.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Ambas variantes WIN_DRV y WIN_PLUS de SprySOCKS son DLL que admiten tres canales para comunicaciones C2 a trav\u00e9s de TCP, UDP y WebSocket y ejecutan comandos emitidos por el operador en el host comprometido. Esto incluye recopilar informaci\u00f3n del sistema, iniciar una consola interactiva, enumerar procesos, obtener detalles de comunicaci\u00f3n C2, enumerar todos los servicios, inicializar un proxy SOCKS, cargar\/descargar archivos y ejecutar archivos existentes.<\/p>\n

La evidencia indica que los artefactos pueden haber sido utilizados entre 2023 y 2024 en ataques contra organizaciones gubernamentales en Honduras, Taiw\u00e1n, Tailandia y Pakist\u00e1n. La versi\u00f3n WIN_PLUS se detect\u00f3 por primera vez en julio de 2024 en el dispositivo de una v\u00edctima geolocalizado en Pakist\u00e1n.<\/p>\n

Es m\u00e1s, hay \u00abindicios limitados\u00bb que sugieren la participaci\u00f3n de un kit de arranque UEFI, que probablemente explota CVE-2023-24932 (puntuaci\u00f3n CVSS: 6,7), una vulnerabilidad de omisi\u00f3n de caracter\u00edstica de seguridad en el Administrador de arranque de Windows que est\u00e1 asociada con el kit de arranque UEFI BlackLotus. Microsoft solucion\u00f3 el problema de seguridad en mayo de 2023.<\/p>\n

\u00abEl descubrimiento de una variante de SprySOCKS para Windows, anteriormente conocida como puerta trasera exclusiva para Linux, representa una expansi\u00f3n significativa de las capacidades multiplataforma de FishMonger\u00bb, dijo ESET.<\/p>\n

\u00abEl port de Windows conserva la mayor parte de la arquitectura central de su predecesor Linux, incluido el protocolo C&C, el cifrado utilizado y la l\u00f3gica general de manejo de comandos, al tiempo que sustituye los mecanismos nativos de Windows cuando sea necesario y mejora el sigilo de la puerta trasera al incorporar los controladores del kernel al juego\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad han detectado dos variantes de Windows no documentadas previamente de lo que se cre\u00eda que era una puerta trasera exclusiva para Linux llamada SprySOCKS. \u00abLas variantes de Windows descubiertas est\u00e1n marcadas internamente como WIN_DRV y WIN_PLUS\u00bb, ESET dicho en un informe compartido con The Hacker News. \u00abAmbos vienen con un C&C […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[210,200,31,1073,24,3033,32,3141,3140,33,488,421],"class_list":["post-1208","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-basado","tag-china","tag-con","tag-controladores","tag-cyberdefensa-mx","tag-expande","tag-puerta","tag-sigilo","tag-sprysocks","tag-trasera","tag-vinculada","tag-windows"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1208"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1208\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}