- De doelwitten van Operation FishMedley omvatten overheden, NGO’s en denktanks in Azië, Europa en de Verenigde Staten.
- De operators gebruikten implantaten, zoals ShadowPad, SodaMaster en Spyder, die gebruikelijk of exclusief zijn voor Chinese dreigingsactoren.
- ESET is ervan overtuigd dat Operation FishMedley werd uitgevoerd door de FishMonger APT-groep.
- Onafhankelijk van de aanklacht van het ministerie van Justitie (DOJ), bevestigt ESET Research dat FishMonger wordt geëxploiteerd door I-SOON.
Sliedrecht, 20 maart 2024 – Het Amerikaanse ministerie van Justitie (DOJ) heeft onlangs een aanklacht openbaar gemaakt tegen medewerkers van de Chinese aannemer I-SOON voor hun betrokkenheid bij verschillende wereldwijde spionageoperaties. Deze omvatten aanvallen die ESET Research eerder documenteerde in haar Threat Intelligence-rapporten en toeschreef aan de FishMonger-groep — de operationele arm van I-SOON — waaronder een aanval van zeven organisaties door ESET werden geïdentificeerd als doelwit in een campagne uit 2022, die ESET Operation FishMedley noemde. Samen met de aanklacht voegde de FBI (die FishMonger als Aquatic Panda aanduidt) de aangeklaagden toe aan haar lijst van meest gezochte personen. De aanklacht beschrijft verschillende aanvallen die sterk verwant zijn aan wat we publiceerden in een privé APT-intelligence rapport begin 2023. Vandaag deelt ESET Research technische kennis over deze wereldwijde campagne die gericht was op overheden, niet-gouvernementele organisaties (NGO’s) en denktanks in Azië, Europa en de Verenigde Staten.
“Tijdens 2022 onderzocht ESET verschillende compromissen waarbij implantaten zoals ShadowPad en SodaMaster, die vaak worden gebruikt door China-georiënteerde dreigingsactoren, werden ingezet. We konden zeven onafhankelijke incidenten clusteren voor Operation FishMedley,” zegt ESET-onderzoeker Matthieu Faou, die de operatie van FishMonger onderzocht. “Tijdens ons onderzoek konden we onafhankelijk bevestigen dat FishMonger een spionagegroep is die wordt geëxploiteerd door I-SOON, een Chinese aannemer uit Chengdu, die in 2024 te maken kreeg met een beruchte documentlek,” voegt Faou toe.
In 2022 viel FishMonger tijdens Operation FishMedley overheidsorganisaties in Taiwan en Thailand aan, katholieke liefdadigheidsinstellingen in Hongarije en de Verenigde Staten, een NGO in de Verenigde Staten, een geopolitieke denktank in Frankrijk en een onbekende organisatie in Turkije. Deze doelwitten en landen zijn divers, maar de meeste zijn duidelijk van belang voor de Chinese overheid.
In de meeste gevallen leken de aanvallers bevoorrechte toegang te hebben binnen het lokale netwerk, zoals domeinbeheerder-gegevens. Operators maakten gebruik van implantaten zoals ShadowPad, SodaMaster en Spyder, die vaak of exclusief worden gebruikt door China-georiënteerde dreigingsactoren. Andere tools die door FishMonger werden gebruikt in FishMedley zijn een aangepast wachtwoord-exfiltratiehulpmiddel, een tool om te communiceren met Dropbox, waarschijnlijk gebruikt om gegevens uit het netwerk van het slachtoffer te exfiltreren, de fscan-netwerkscanner en een NetBIOS-scanner.
FishMonger — een groep geëxploiteerd door de Chinese aannemer I-SOON — valt onder de Winnti Group en opereert waarschijnlijk vanuit China, vanuit de stad Chengdu, waar naar verwachting het kantoor van I-SOON is gevestigd. FishMonger is ook bekend als Earth Lusca, TAG-22, Aquatic Panda of Red Dev 10. ESET publiceerde een analyse van deze groep begin 2020, toen deze zwaar richtte op universiteiten in Hong Kong tijdens de burgerlijke protesten die in juni 2019 begonnen. De groep staat bekend om het uitvoeren van watering-hole-aanvallen. FishMonger’s toolset omvat ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS en de BIOPASS RAT.
Voor een gedetailleerdere analyse en technische uitleg van FishMonger’s operatie, FishMedley, kun je het laatste ESET Research artikel "Operation FishMedley" lezen op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.
Namen van FishMonger / I-SOON leden (bron: FBI)
Over ESET
ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET's bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.