Çin bağlantılı ileri kalıcı tehdit (APT) grubu. olarak bilinen Su panda 2022’de yedi kuruluşu hedefleyen bir “küresel casusluk kampanyası” ile bağlantılıdır.
Bu varlıklar arasında hükümetler, Katolik hayır kurumları, sivil toplum örgütleri (STK’lar) ve Tayvan, Macaristan, Türkiye, Tayland, Fransa ve Amerika Birleşik Devletleri’nde düşünce kuruluşları bulunmaktadır. Ocak ve Ekim 2022 arasında 10 aylık bir süre boyunca gerçekleşen etkinliğin ESET tarafından Fishmedley Operasyonu kodludur.
Güvenlik Araştırmacısı Matthieu Faou, “Operatörler, Çin uyumlu tehdit aktörlerine ortak veya özel olan Shadowpad, Sodamaster ve Spyder gibi implantları kullandı.” söz konusu bir analizde.
Bronz Üniversitesi, Kömür Typhoon, Earth Lusca ve Redhotel olarak da adlandırılan Su Panda, Çin’den en az 2019’dan beri aktif olduğu bilinen bir siber casusluk grubudur. Slovakya Siber Güvenlik Şirketi, Balıksmonger adı altında hackleme ekibini izliyor.
Winnti Grubu Şemsiyesi (AKA APT41, Baryum veya Bronz Atlas) altında faaliyet gösterdiği söylenen tehdit oyuncusu, 2016’dan 2023’ten 2023’e kadar çok cisim kampanyalarına katıldıkları iddiasıyla ABD Adalet Bakanlığı (DOJ) tarafından suçlanan Çin yüklenici I-Soon tarafından da denetleniyor.
Düşmanca kolektif de geriye dönük olarak atfedildi Hong Kong’daki üniversiteleri hedefleyen bir 2019 kampanyasına, daha sonra Winnti Grubuna bağlı bir saldırı seti olan Shadowpad ve Winnti kötü amaçlı yazılımlarını kullandı.
2022 saldırıları, beş farklı kötü amaçlı yazılım ailesinin kullanımı ile karakterize edilir: Shadowpad, Spyder, Sodamaster ve Rpipecommander’ı bırakmak için kullanılan Scatterbee adlı bir yükleyici. Kampanyada kullanılan ilk erişim vektörü bu aşamada bilinmemektedir.
“APT10, erişebildiği bilinen ilk gruptu [SodaMaster] Ancak Fishmedley Operasyonu, şimdi Çin’e uyumlu birden fazla APT grubu arasında paylaşılabileceğini gösteriyor. “Dedi.
Rpipecommander, Tayland’daki belirtilmemiş bir hükümet kuruluşuna karşı konuşlandırılan daha önce belgelenmemiş bir C ++ implantına verilen isimdir. CMD.EXE kullanarak komutları çalıştırabilen ve çıktıları toplayabilen bir ters kabuk olarak işlev görür.
FAOU, “Grup, Shadowpad veya Sodamaster gibi tanınmış implantları yeniden kullanma konusunda utangaç değil.
