• Sectoren die tijdens OperationFishMedley werden aangevallen, zijn onder meer overheden, NGO's en denktanks in Azië, Europa en de Verenigde Staten.
• Operatoren gebruikten implantaten, zoals ShadowPad, SodaMaster en Spyder, die gebruikelijk of exclusief zijn voor aan China gelieerde dreigingsactoren.
• Onafhankelijk van de aanklacht door het US Department of Justice (DOJ), bevestigt ESET Research Research dat FishMonger door I-SOON wordt geleid.
20 maart 2025 — Het Amerikaanse ministerie van Justitie (DOJ) heeft een aanklacht ingediend tegen werknemers van de Chinese aannemer I-SOON voor hun betrokkenheid bij meerdere wereldwijde spionage-acties. Deze omvatten aanvallen die ESET Research eerder documenteerde in zijn Threat Intelligence-rapporten en toeschreef aan de FishMonger-groep, de operationele tak van I-SOON, waaronder een aanval op zeven organisaties die ESET identificeerde als doelwit in een campagne uit 2022 en die het Operation FishMedley noemde. Naast de aanklacht heeft de FBI (die FishMonger Aquatic Panda noemt) de genoemde organisaties toegevoegd aan zijn Most Wanted-lijst. De aanklacht beschrijft verschillende aanvallen die sterk gerelateerd zijn aan wat ESET begin 2023 publiceerde in een privé-APT-inlichtingenrapport (private APT intelligence report). Vandaag deelt ESET Research technische kennis over deze wereldwijde campagne die gericht was op overheden, ngo’s en denktanks in Azië, Europa en de Verenigde Staten.
“In 2022 onderzocht ESET verschillende bedreigingen waarbij implantaten zoals ShadowPad en SodaMaster werden gebruikt. Zij worden vaak gebruikt door aan China gelinkte dreigingsactoren. Voor Operation FishMedley konden we zeven onafhankelijke incidenten onderscheiden “, zegt Matthieu Faou, de ESET-onderzoeker die de operatie van FishMonger onderzocht.
“Tijdens ons onderzoek konden we onafhankelijk bevestigen dat FishMonger een spionageteam is, dat gerund wordt door I-SOON, een Chinese contractant gevestigd in Chengdu en die in 2024 betrokken was in een beruchte document-lekkage”, verduidelijkt Faou.
In 2022 viel FishMonger in Operation FishMedley overheidsorganisaties in Taiwan en Thailand aan, katholieke liefdadigheidsinstellingen in Hongarije en de VS, een NGO in de VS, een geopolitieke denktank in Frankrijk en een onbekende organisatie in Turkije.
Deze sectoren en landen zijn divers, maar de meeste zijn duidelijk interessant voor de Chinese overheid.
In de meeste gevallen leken de aanvallers bevoorrechte toegang te hebben tot het lokale netwerk, zoals domeinbeheerdersreferenties. Operatoren gebruikten implantaten, zoals ShadowPad, SodaMaster en Spyder, die gebruikelijk of exclusief zijn voor aan China gelinkte dreigingsactoren. Andere tools die FishMonger in FishMedley gebruikt, zijn o.a. een aangepaste tool die wachtwoorden exfiltreert; een tool die gebruikt wordt om te communiceren met Dropbox, wellicht gebruikt om gegevens uit het netwerk van het slachtoffer te exfiltreren; de fscan-netwerkscanner; een NetBIOS-scanner.
FishMonger — een groep gerund door de Chinese aannemer I-SOON — valt onder de paraplu van Winnti Group en opereert hoogstwaarschijnlijk vanuit de Chinese stad Chengdu, waar het kantoor van I-SOON zich wellicht nog steeds bevindt. FishMonger is ook bekend als Earth Lusca, TAG 22, Aquatic Panda of Red Dev 10. Begin 2022 publiceerde ESET een analyse van de groep toen die universiteiten in Hong Kong zwaar aanviel tijdens de burgerprotesten die in juni 2019 waren begonnen. De groep is bekend voor het uitvoeren van watering-hole-aanvallen. De toolset van FishMonger omvat ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS en de BIOPASS RAT.
Voor een meer gedetailleerde en technische analyse van FishMedley, FishMonger’s actie, kan u de nieuwste blog van ESET Research lezen, “Operation FishMedley”, op www.WeLiveSecurity.com .
Volg ook ESET Research op X voor de nieuwste info over ESET Research.
Meer lezen
