El grupo de amenaza persistente avanzada (APT) vinculada por China. conocido como Panda acuática se ha vinculado a una “campaña de espionaje global” que tuvo lugar en 2022 dirigidos a siete organizaciones.
Estas entidades incluyen gobiernos, organizaciones benéficas católicas, organizaciones no gubernamentales (ONG) y grupos de expertos en Taiwán, Hungría, Turquía, Tailandia, Francia y Estados Unidos. La actividad, que tuvo lugar durante un período de 10 meses entre enero y octubre de 2022, ha recibido un nombre en código Operation Fishmedley por ESET.
“Los operadores usaron implantes, como ShadowPad, Sodamaster y Spyder, que son comunes o exclusivos para los actores de amenaza alineados por China”, el investigador de seguridad Matthieu Faou dicho en un análisis.
El panda acuática, también llamado Universidad de Bronce, Tifón de carbón, Earth Lusca y Redhotel, es un grupo de ciber espionaje de China que se sabe que está activo desde al menos 2019. La compañía de seguridad cibernética eslovaca está rastreando a la tripulación de piratería bajo el nombre de Fishmonger.
Se dice que está operando bajo el paraguas del Grupo Winnti (también conocido como APT41, Bario o Atlas de Bronce), el actor de amenaza también es supervisado por el contratista chino I-soon, algunos de cuyos empleados fueron acusados por el Departamento de Justicia de los Estados Unidos (DOJ) a principios de este mes por su supuesta participación en múltiples campañas de espiones de 2016 a 2023.
El colectivo adversario también ha sido atribuido retroactivamente Para una campaña de finales de 2019 dirigida a universidades en Hong Kong usando Shadowpad y Winnti Malware, un conjunto de intrusiones que luego estaba vinculado al grupo Winnti.
Los ataques 2022 se caracterizan por el uso de cinco familias de malware diferentes: un cargador llamado Scatterbee que se usa para dejar caer Shadowpad, Spyder, Sodamaster y Rpipecommander. El vector de acceso inicial exacto utilizado en la campaña no se conoce en esta etapa.
“Apt10 fue el primer grupo conocido en tener acceso a [SodaMaster] Pero la Operación Fishmedley indica que ahora puede compartirse entre múltiples grupos APT alineados por China “, dijo Eset.
RPIPECMANDER es el nombre dado a un implante C ++ previamente indocumentado desplegado contra una organización gubernamental no especificada en Tailandia. Funciona como un shell inverso que es capaz de ejecutar comandos usando cmd.exe y recopilar las salidas.
“El grupo no es tímido para reutilizar implantes conocidos, como Shadowpad o Sodamaster, incluso mucho después de haber sido descritos públicamente”, dijo Faou.
About the Author
