El Departamento de Justicia de los Estados Unidos (DOJ) recientemente dio a conocer una acusación contra empleados del contratista chino I SOON por su participación en múltiples operaciones de espionaje global.
Entre ellas se incluyen ataques que ESET Research había documentado previamente en sus informes de Inteligencia de Amenazas y atribuido al grupo FishMonger -brazo operativo de I-SOON-, incluyendo uno que involucraba a siete organizaciones que ESET identificó como objetivo en una campaña de 2022 que ESET denominó Operación FishMedley. Junto con la acusación, el FBI (que se refiere a FishMonger como Aquatic Panda) añadió a los nombrados a su lista de los más buscados. La acusación describe varios ataques que están fuertemente relacionados con lo que publicamos en un informe privado de inteligencia APT a principios de 2023.
Hoy, ESET Research comparte conocimientos técnicos sobre esta campaña global que tuvo como objetivo gobiernos, organizaciones no gubernamentales (ONG) y think tanks de Asia, Europa y Estados Unidos.
«Durante 2022, ESET investigó varios compromisos donde se utilizaron implantes como ShadowPad y SodaMaster, que son comúnmente empleados por actores de amenazas alineados con China. Pudimos agrupar siete incidentes independientes para la Operación FishMedley», dice el investigador de ESET Matthieu Faou, quien investigó la operación de FishMonger. «Durante nuestra investigación, pudimos confirmar de forma independiente que FishMonger es un equipo de espionaje operado por I SOON, un contratista chino con sede en Chengdu que sufrió una infame filtración de documentos en 2024», añade Faou.
Durante 2022, en la operación FishMedley, FishMonger atacó organizaciones gubernamentales en Taiwán y Tailandia, organizaciones benéficas católicas en Hungría y Estados Unidos, una ONG en Estados Unidos, un think tank geopolítico en Francia y una organización desconocida en Turquía. Estos sectores y países son diversos, pero la mayoría son de evidente interés para el gobierno chino.
En la mayoría de los casos, los atacantes parecían tener acceso privilegiado dentro de la red local, como credenciales de administrador de dominio. Los operadores utilizaron implantes, como ShadowPad, SodaMaster y Spyder, que son comunes o exclusivos de los actores de amenazas alineados con China. Entre otras herramientas utilizadas por FishMonger en FishMedley se encuentran una contraseña personalizada que exfiltra contraseñas; una herramienta utilizada para interactuar con Dropbox, probablemente utilizada para exfiltrar datos de la red de la víctima; el escáner de red fscan; y un escáner NetBIOS.
FishMonger -un grupo operado por el contratista chino I SOON- se encuentra bajo el paraguas del grupo Winnti y es muy probable que opere desde China, desde la ciudad de Chengdu, donde probablemente se encuentra la oficina de I-SOON. FishMonger también se conoce como Earth Lusca, TAG 22, Aquatic Panda o Red Dev 10. ESET publicó un análisis de este grupo a principios de 2020, cuando atacó fuertemente universidades en Hong Kong durante las protestas cívicas que comenzaron en junio de 2019. El grupo es conocido por operar ataques de abrevadero. El conjunto de herramientas de FishMonger incluye ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS y el BIOPASS RAT.
Fuente: ESET
