Ένα νέο κακόβουλο λογισμικό που ονομάζεται GhostSocks εξαπλώνεται αθόρυβα μέσω παραβιασμένων συστημάτων, μετατρέποντας τις συσκευές του σπιτιού και του γραφείου σε οικιακούς πληρεξούσιους που χρησιμοποιούν οι ηθοποιοί για να αποκρύψουν την κακόβουλη κυκλοφορία τους.
Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό που απλώς κλέβει δεδομένα ή κλειδώνει αρχεία, το GhostSocks παραβιάζει τη σύνδεση του θύματος στο διαδίκτυο για να κάνει την επισκεψιμότητα των εισβολέων να φαίνεται σαν να προέρχεται από έναν κανονικό οικιακό χρήστη.
Αυτό καθιστά πολύ πιο δύσκολο για τα εργαλεία ασφαλείας να επισημάνουν τη δραστηριότητα ως ύποπτη, δίνοντας στους εισβολείς ένα σαφές πλεονέκτημα.
Το GhostSocks πρωτοκυκλοφόρησε στο xss[.]είναι, ένα πολύ γνωστό ρωσικό φόρουμ για το υπόγειο έγκλημα στον κυβερνοχώρο, ως προσφορά Malware-as-a-Service (MaaS), που σημαίνει ότι κάθε εγκληματίας που θέλει να πληρώσει μπορεί να νοικιάσει πρόσβαση χωρίς να το κατασκευάσει ο ίδιος.
Γραπτό στο GoLang, χρησιμοποιεί το πρωτόκολλο διακομιστή μεσολάβησης SOCKS5 για να δημιουργήσει ένα κρυφό κανάλι επικοινωνίας σε μολυσμένες συσκευές, ενώ μια αρχιτεκτονική εντολών και ελέγχου (C2) που βασίζεται σε αναμετάδοση τοποθετεί έναν ενδιάμεσο διακομιστή μεταξύ της πραγματικής υποδομής C2 του εισβολέα και του παραβιασμένου μηχανήματος.
Μόλις το 2024, όταν η GhostSocks ανακοίνωσε μια συνεργασία με το διαβόητο Lumma Stealer – ένα ευρέως χρησιμοποιούμενο κακόβουλο λογισμικό κλοπής πληροφοριών – η υιοθέτησή του αυξήθηκε απότομα σε όλο το τοπίο των απειλών.
Οι αναλυτές της Darktrace εντόπισαν μια σταθερή άνοδο στο GhostSocks δραστηριότητα σε ολόκληρη τη βάση πελατών της από τα τέλη του 2025, με πολλά περιστατικά να τεκμηριώνονται λεπτομερώς.
Σε μια αξιοσημείωτη περίπτωση από τον Δεκέμβριο του 2025, το Darktrace εντόπισε GhostSocks να λειτουργούν παράλληλα με το Lumma Stealer στο δίκτυο πελατών ενός εκπαιδευτικού τομέα, επιβεβαιώνοντας ότι η συνεργασία μεταξύ των δύο οικογενειών κακόβουλου λογισμικού παραμένει ενεργή παρά τις πρόσφατες προσπάθειες να διαταραχθεί η υποδομή της Lumma.
Το GhostSocks είναι ιδιαίτερα επικίνδυνο επειδή εξυπηρετεί πολλαπλούς εγκληματικούς σκοπούς ταυτόχρονα. Πέρα από τη δρομολόγηση της κυκλοφορίας εισβολέων μέσω οικιακών συνδέσεων, περιλαμβάνει επίσης ένα στοιχείο backdoor που επιτρέπει στους χειριστές να εκτελούν αυθαίρετες εντολές και να αναπτύσσουν πρόσθετα κακόβουλα ωφέλιμα φορτία σε μολυσμένα συστήματα.
Η ομάδα ransomware Black Basta φέρεται να χρησιμοποίησε το GhostSocks για να διατηρήσει μακροπρόθεσμη, κρυφή πρόσβαση στα δίκτυα των θυμάτων – καθιστώντας το ένα εργαλείο πλήρους πρόσβασης, όχι απλώς ένα εργαλείο μεσολάβησης.
Η απειλή εκτείνεται πολύ πέρα από κάθε μεμονωμένο οργανισμό. Τόσο οι κυβερνοεγκληματικές ομάδες όσο και οι κρατικοί φορείς βασίζονται όλο και περισσότερο σε οικιακούς πληρεξούσιους για να παρακάμψουν τα εργαλεία ανίχνευσης που βασίζονται σε IP και το GhostSocks παρέχει ακριβώς αυτό το είδος κάλυψης σε κλίμακα.
Εφόσον οι φορείς απειλών μπορούν να ανακατασκευάσουν γρήγορα την υποδομή και να διατηρήσουν την ανωνυμία μέσω κόμβων μεσολάβησης, αυτό το κακόβουλο λογισμικό θα παραμείνει ένας μόνιμος κίνδυνος.
Πώς το GhostSocks αποφεύγει την ανίχνευση
Το GhostSocks είναι χτισμένο με την υπεκφυγή ως κεντρικό χαρακτηριστικό σχεδιασμού. Το κακόβουλο λογισμικό τυλίγει τις σήραγγες του SOCKS5 σε κρυπτογράφηση Transport Layer Security (TLS), επιτρέποντας στην κυκλοφορία του να συνδυάζεται με κανονικές κρυπτογραφημένες επικοινωνίες δικτύου και δυσκολεύοντας τα εργαλεία που βασίζονται σε υπογραφές να το αναγνωρίσουν μόνο μέσω των μοτίβων κυκλοφορίας.
Στο περιστατικό του Δεκεμβρίου του 2025, το πρώτο προειδοποιητικό σημάδι ήρθε όταν μια συσκευή άρχισε να συνδέεται σε ένα τελικό σημείο χρησιμοποιώντας ένα ύποπτο αυτο-υπογεγραμμένο πιστοποιητικό SSL που δεν είχε ξαναδεί σε αυτό το δίκτυο.
Το τελικό σημείο, ανάληψη[.]κάντε κλικ (159.89.46[.]92), επισημάνθηκε από πολλαπλές πηγές πληροφοριών ανοιχτού κώδικα (OSINT) ως μέρος της υποδομής C2 της Lumma Stealer.
Μέσα σε δύο λεπτά, η ίδια συσκευή κατέβασε ένα εκτελέσιμο αρχείο με το όνομα “Renewable.exe” από το IP 86.54.24[.]29, επιβεβαιώθηκε από πολλούς προμηθευτές OSINT ως ωφέλιμο φορτίο που συνδέεται με το GhostSocks.
![Ανίχνευση ύποπτων συνδέσεων SSL για ανάκτηση[.]κλικ, υποδεικνύοντας μια προσπάθεια σύνδεσης με την υποδομή Lumma C2 (Πηγή - DarkTrace)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEighO2iwmiWhC7JJ07PTpiDcRLzhyphenhyphenUml72eqeTO4TqTvc8-lH2__l23lmGNHE7SCNteLUVKMWcmg1-TFxjVsVSjKUjdZ0kLO-8wRQawdU4dBhfJazkZIhOj0vjQW7zHavLqUQSVFFZzcztFN3tkIrmAA2f5g4iNV1GA5wsKGS53iMYPOB-4jW9OvjuYRuE/s16000/Darktrace%E2%80%99s%20detection%20of%20suspicious%20SSL%20connections%20to%20retreaw%5B.%5Dclick,%20indicating%20an%20attempted%20link%20to%20Lumma%20C2%20infrastructure%20(Source%20-%20DarkTrace).webp)
Δύο ημέρες αργότερα, λήφθηκαν πρόσθετα ωφέλιμα φορτία, συμπεριλαμβανομένων των “Setup.exe” και “/vp6c63yoz.exe” από τη διεύθυνση www.lbfs[.]τοποθεσία, ακολουθούμενη από δέσμευση C2 σε πολλαπλά σπάνια εξωτερικά τελικά σημεία.
.webp)
Οι μεταγενέστερες εκδόσεις του GhostSocks επιτυγχάνουν επιμονή μέσω των κλειδιών εκτέλεσης μητρώου των Windows, διασφαλίζοντας ότι ο διακομιστής μεσολάβησης παραμένει ενεργός ακόμα και μετά την επανεκκίνηση του συστήματος – μια δυνατότητα που απουσιάζει σε προηγούμενες παραλλαγές, αντικατοπτρίζοντας την ενεργό συνεχή ανάπτυξη.
![Ανίχνευση κακόβουλου ωφέλιμου φορτίου από το www.lbfs[.]ιστότοπος (Πηγή - DarkTrace)](https://bunny-wp-pullzone-cwo5hlus3f.b-cdn.net/wp-content/uploads/2026/03/1774941178_323_Darktrace.jpeg's%20detection%20of%20a%20malicious%20payload%20from%20www.lbfs%5B.%5Dsite%20(Source%20-%20DarkTrace).webp)
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν στενά τις συνδέσεις σε σπάνια εξωτερικά τελικά σημεία χρησιμοποιώντας αυτο-υπογεγραμμένα πιστοποιητικά SSL, καθώς αυτή ήταν η πρώτη ανιχνεύσιμη προειδοποίηση σε τεκμηριωμένες περιπτώσεις.
.webp.jpeg)
Συνιστάται ανεπιφύλακτα η ενεργοποίηση δυνατοτήτων αυτοματοποιημένης απόκρισης, καθώς οι χειροκίνητες λειτουργίες επιβεβαίωσης καθυστέρησαν τον περιορισμό στην αναφερόμενη επίθεση.
Διατήρηση ενημερωμένων δεικτών συμβιβασμού — συμπεριλαμβανομένων των κατακερματισμών αρχείων SHA1 και ονομάτων κεντρικών υπολογιστών, όπως η ανάκτηση[.]κάντε κλικ, www.lbfs[.]τοποθεσία, και 86.54.24[.]29 — παράλληλα με την επιβολή αυστηρών ελέγχων εξερχόμενης κυκλοφορίας, μπορεί να περιορίσει την ικανότητα του κακόβουλου λογισμικού να δημιουργεί σταθερές επικοινωνίες C2.
