Um novo malware voltado para sistemas Linux foi identificado em campanhas de espionagem digital. Batizado de “SprySOCKS”, ele fornece controle remoto completo sobre sistemas comprometidos e está sendo utilizado por um grupo APT vinculado ao governo chinês, com foco principal em organizações governamentais e empresas de tecnologia localizadas na Ásia.

O SprySOCKS emprega técnicas de evasão avançadas que permitem sua permanência prolongada sem ser detectado, além de utilizar comunicação criptografada com servidores de comando e controle. Uma vez instalado, ele possibilita a execução remota de comandos com privilégios elevados, captura de tela, extração de arquivos e manipulação de dados. A principal forma de infecção observada envolve a exploração de servidores web vulneráveis, permitindo o envio do binário malicioso diretamente ao ambiente.

Em outros cenários, o malware é implantado como carga secundária em campanhas de phishing direcionadas a administradores de sistemas Linux. O código do SprySOCKS é modular, o que permite a extensão de funcionalidades conforme a necessidade do atacante. Para garantir persistência, ele altera cron jobs e scripts de inicialização, dificultando a remoção mesmo após reinicializações do sistema. Apesar de estar concentrado na Ásia, a complexidade da ameaça levanta preocupações sobre possíveis expansões para alvos em outras regiões. A sofisticação técnica sugere que o malware pode ser adaptado para atingir diversos tipos de ambientes corporativos.