与中国政府支持的黑客组织有关联的威胁行动者 Earth Lusca，已被观察到利用一种名为 SprySOCKS 的新型 Linux 后门来攻击全球政府组织。

正如 Trend Micro 在 2022 年 1 月首次报道的那样，Earth Lusca 至少自 2021 年以来一直活跃，对亚洲、澳大利亚、欧洲和北美的公共和私营部门目标进行网络间谍活动。他们的策略包括鱼叉式网络钓鱼和水坑攻击以获得初始访问权限。Earth Lusca 的一些活动与另一个名为 RedHotel 的中国威胁组织重叠。

在新的研究中，Trend Micro 揭示 Earth Lusca 仍然非常活跃，甚至在 2023 年上半年扩大了业务。主要受害者是专注于外交、技术和电信的政府部门。 攻击集中在东南亚、中亚和巴尔干地区。

Earth Lusca 通过利用 Fortinet、GitLab、Microsoft Exchange、Telerik UI 和 Zimbra 软件中的漏洞来破坏面向互联网的系统后，使用 Web Shell 和 Cobalt Strike 进行横向移动。 他们的目标是窃取文档和凭据，同时安装额外的后门程序，如 ShadowPad 和 Winnti，以进行长期间谍活动。

发现提供 Cobalt Strike 的命令和控制服务器也托管了 SprySOCKS - 一种以前未公开报道的高级后门程序。 SprySOCKS 起源于 Windows 恶意软件 Trochilus，包含侦察、远程 Shell、代理和文件操作功能。 它通过 TCP 进行通信，模仿 Windows 木马 RedLeaves 使用的模式，而 RedLeaves 本身是基于 Trochilus 构建的。

至少已识别出两个 SprySOCKS 版本，表明正在进行开发。 Earth Lusca 部署的这种新型 Linux 后门突显了中国政府支持的威胁日益复杂。 强大的补丁、访问控制、异常活动监控和其他积极防御措施对于抵御这种高级恶意软件仍然至关重要。

Trend Micro 的研究人员强调，组织必须尽量减少攻击面，定期更新系统，并确保强大的安全卫生，以中断像 Earth Lusca 这样无情的威胁团体的策略、技术和程序。