O Departamento de Justiça dos Estados Unidos (DOJ) apresentou uma acusação contra funcionários da empresa chinesa I-SOON pelo seu envolvimento em várias operações de ciberespionagem global. A ESET documentou anteriormente estas operações nos seus relatórios de Threat Intelligence e atribuiu-as ao grupo FishMonger – o braço operacional da I-SOON – incluindo um que envolveu sete organizações que a ESET identificou como sendo alvo de uma campanha de 2022 que denominou Operação FishMedley.
Juntamente com a acusação, o FBI (que se refere ao FishMonger como Aquatic Panda) adicionou os nomes citados à sua lista dos mais procurados. A acusação descreve vários ataques que estão fortemente relacionados ao que a ESET publicou num relatório no início de 2023. Hoje, a ESET partilha informação sobre esta campanha global que teve como alvo governos, organizações não governamentais (ONGs) e think tanks na Europa, Ásia e Estados Unidos.
“Durante 2022, a ESET investigou vários comprometimentos onde implantes como o ShadowPad e o SodaMaster, que costumam estar associados a agentes de ameaça alinhados com a China, foram usados. Conseguimos agrupar sete incidentes independentes para a Operação FishMedley”, diz o investigador da ESET Matthieu Faou, que investigou a operação do FishMonger. “Durante a nossa investigação, conseguimos confirmar de forma independente que o FishMonger é uma equipa de espionagem operada pela I-SOON, uma empresa chinesa com sede em Chengdu que sofreu uma infame fuga de documentos em 2024”, acrescenta Faou.
Em 2022, na Operação FishMedley, o FishMonger atacou organizações governamentais em Taiwan e na Tailândia, instituições de caridade católicas na Hungria e nos Estados Unidos, uma ONG nos Estados Unidos, um think tank geopolítico em França e uma organização desconhecida na Turquia. Estas verticais e países são diversos, mas a maioria é de interesse óbvio para o governo chinês.
Na maioria dos casos, os atacantes pareciam ter acesso privilegiado dentro da rede local, como credenciais de administrador. Os operadores utilizaram implantes, como o ShadowPad, o SodaMaster e o Spyder, que são comuns ou exclusivos de atores de ameaça alinhados com a China. Entre outras ferramentas usadas pelo FishMonger no FishMedley estão um exfiltrador de passwords, uma ferramenta usada para interagir com o Dropbox, provavelmente usada para exfiltrar dados da rede da vítima, o scanner de rede fscan e um scanner NetBIOS.
O FishMonger está sob a alçada do Grupo Winnti e, muito provavelmente, está a operar a partir da China, da cidade de Chengdu, onde o escritório da I-SOON presumivelmente continua a estar localizado. O FishMonger também é conhecido como Earth Lusca, TAG 22, Aquatic Panda ou Red Dev 10. A ESET publicou uma análise deste grupo no início de 2020, quando visou fortemente as universidades de Hong Kong durante os protestos cívicos que começaram em junho de 2019.
O grupo é conhecido por realizar ataques do tipo “watering hole”. O conjunto de ferramentas do FishMonger inclui o ShadowPad, o Spyder, o Cobalt Strike, o FunnySwitch, o SprySOCKS e o BIOPASS RAT.
