El asociación de amenaza persistente destacamento (APT) vinculada por China. conocido como Panda acuática se ha vinculado a una «campaña de espionaje universal» que tuvo ocupación en 2022 dirigidos a siete organizaciones.
Estas entidades incluyen gobiernos, organizaciones benéficas católicas, organizaciones no gubernamentales (ONG) y grupos de expertos en Taiwán, Hungría, Turquía, Tailandia, Francia y Estados Unidos. La actividad, que tuvo ocupación durante un período de 10 meses entre enero y octubre de 2022, ha recibido un nombre en código Operation Fishmedley por ESET.
«Los operadores usaron implantes, como ShadowPad, Sodamaster y Spyder, que son comunes o exclusivos para los actores de amenazas alineados por China», dijo el investigador de seguridad Matthieu Faou en un disección.
El panda acuática, igualmente llamado Universidad de Bronce, Tifón de carbón, Earth Lusca y Redhotel, es un asociación de ciber espionaje de China que se sabe que está activo desde al menos 2019. La compañía de seguridad cibernética eslovaca está rastreando a la tripulación de piratería bajo el nombre de Fishmonger.
Se dice que está operando bajo el paraguas del Peña Winnti (igualmente conocido como APT41, Bario o Atlas de Bronce), el actor de amenaza igualmente es supervisado por el contratista chino I-soon, algunos de cuyos empleados fueron acusados por el Área de Conciencia de los Estados Unidos (DOJ) a principios de este mes por su supuesta décimo en múltiples campañas de espiones de 2016 a 2023.
El colectivo adversario igualmente se ha atribuido retroactivamente a una campaña de finales de 2019 dirigida a universidades en Hong Kong usando Shadowpad y Winnti Malware, un conjunto de intrusos que luego estaba vinculado al asociación Winnti.
Los ataques 2022 se caracterizan por el uso de cinco familias de malware diferentes: un cargador llamado Scatterbee que se usa para dejar caer Shadowpad, Spyder, Sodamaster y Rpipecommander. El vector de entrada auténtico exacto utilizado en la campaña no se conoce en esta etapa.
«APT10 fue el primer asociación conocido en tener entrada a (Sodamaster), pero la Operación Fishmedley indica que ahora puede compartirse entre múltiples grupos APT alineados por China», dijo Eset.
RPIPECMANDER es el nombre donado a un implante C ++ previamente indocumentado desplegado contra una estructura ministerial no especificada en Tailandia. Funciona como un shell inverso que es capaz de ejecutar comandos usando cmd.exe y compendiar las expectativas.
«El asociación no es achicopalado para reutilizar implantes conocidos, como Shadowpad o Sodamaster, incluso mucho a posteriori de favor sido descritos públicamente», dijo Faou.
