De China-gekoppelde Advanced Persistente Threat (APT) -groep. bekend als Aquatische panda is gekoppeld aan een “wereldwijde spionage -campagne” die plaatsvond in 2022 gericht op zeven organisaties.
Deze entiteiten omvatten regeringen, katholieke liefdadigheidsinstellingen, niet-gouvernementele organisaties (NGO’s) en denktanks in Taiwan, Hongarije, Turkije, Thailand, Frankrijk en de Verenigde Staten. De activiteit, die plaatsvond gedurende een periode van 10 maanden tussen januari en oktober 2022, is door ESET Codenaam Operation Fishmedley.
“Operators gebruikten implantaten-zoals Shadowpad, Sodamaster en Spyder-die gebruikelijk of exclusief zijn voor China-uitgelijnde dreigingsactoren,” zei beveiligingsonderzoeker Matthieu Faou in een analyse.
Aquatic Panda, ook wel Bronze University genoemd, houtskool Typhoon, Earth Lusca en Redhotel, is een cyberspionagegroep uit China waarvan bekend is dat het sinds minstens 2019 actief is. Het Slowaakse cybersecuritybedrijf volgt de hackingploeg onder de naam Fishmonger.
Naar verluidt opererend onder de Winnti Group Umbrella (AKA Apt41, Barium of Bronze Atlas), wordt de dreigingsacteur ook onder toezicht gehouden door de Chinese aannemer I-SOON, waarvan sommige werknemers werden aangeklaagd door het Amerikaanse ministerie van Justitie (DOJ) eerder deze maand voor hun beweerde betrokkenheid bij meerdere espionagecampagnes van 2016 tot 2023.
Het tegenstanders is ook met terugwerkende kracht toegeschreven aan een campagne in het late 2019 gericht op universiteiten in Hong Kong met behulp van Shadowpad en Winnti Malware, een inbreuk set die vervolgens was gebonden aan de Winnti -groep.
De 2022 -aanvallen worden gekenmerkt door het gebruik van vijf verschillende malwarefamilies: een lader genaamd ScatterBee die wordt gebruikt om Shadowpad, Spyder, Sodamaster en Rpipecommander te laten vallen. De exacte initiële toegangsvector die in de campagne wordt gebruikt, is in dit stadium niet bekend.
“APT10 was de eerste groep waarvan bekend is dat hij toegang heeft tot (Sodamaster), maar Operation Fishmedley geeft aan dat het nu kan worden gedeeld met meerdere China-uitgelijnde APT-groepen,” zei ESET.
RPIPECOMMANDER is de naam gegeven aan een eerder niet -papieren C ++ -implantaat dat is ingezet tegen een niet -gespecificeerde overheidsorganisatie in Thailand. Het functioneert als een omgekeerde shell die in staat is om opdrachten uit te voeren met behulp van cmd.exe en het verzamelen van de uitgangen.
“De groep is niet verlegen om bekende implantaten te hergebruiken, zoals Shadowpad of Sodamaster, zelfs lang nadat ze publiekelijk zijn beschreven,” zei Faou.
