El grupo de amenaza persistente avanzada (APT) vinculada por China. conocido como Panda acuática se ha vinculado a una «campaña de espionaje global» que tuvo lugar en 2022 dirigidos a siete organizaciones.
Estas entidades incluyen gobiernos, organizaciones benéficas católicas, organizaciones no gubernamentales (ONG) y grupos de expertos en Taiwán, Hungría, Turquía, Tailandia, Francia y Estados Unidos. La actividad, que tuvo lugar durante un período de 10 meses entre enero y octubre de 2022, ha recibido un nombre en código Operation Fishmedley por ESET.
«Los operadores usaron implantes, como ShadowPad, Sodamaster y Spyder, que son comunes o exclusivos para los actores de amenazas alineados por China», dijo el investigador de seguridad Matthieu Faou en un análisis.
El panda acuática, también llamado Universidad de Bronce, Tifón de carbón, Earth Lusca y Redhotel, es un grupo de ciber espionaje de China que se sabe que está activo desde al menos 2019. La compañía de seguridad cibernética eslovaca está rastreando a la tripulación de piratería bajo el nombre de Fishmonger.
Se dice que está operando bajo el paraguas del Grupo Winnti (también conocido como APT41, Bario o Atlas de Bronce), el actor de amenaza también es supervisado por el contratista chino I-soon, algunos de cuyos empleados fueron acusados por el Departamento de Justicia de los Estados Unidos (DOJ) a principios de este mes por su supuesta participación en múltiples campañas de espiones de 2016 a 2023.
El colectivo adversario también se ha atribuido retroactivamente a una campaña de finales de 2019 dirigida a universidades en Hong Kong usando Shadowpad y Winnti Malware, un conjunto de intrusos que luego estaba vinculado al grupo Winnti.
Los ataques 2022 se caracterizan por el uso de cinco familias de malware diferentes: un cargador llamado Scatterbee que se usa para dejar caer Shadowpad, Spyder, Sodamaster y Rpipecommander. El vector de acceso inicial exacto utilizado en la campaña no se conoce en esta etapa.
«APT10 fue el primer grupo conocido en tener acceso a (Sodamaster), pero la Operación Fishmedley indica que ahora puede compartirse entre múltiples grupos APT alineados por China», dijo Eset.
RPIPECMANDER es el nombre dado a un implante C ++ previamente indocumentado desplegado contra una organización gubernamental no especificada en Tailandia. Funciona como un shell inverso que es capaz de ejecutar comandos usando cmd.exe y recopilar las salidas.
«El grupo no es tímido para reutilizar implantes conocidos, como Shadowpad o Sodamaster, incluso mucho después de haber sido descritos públicamente», dijo Faou.