Le groupe de menaces persistantes avancées en Chine (APT). connu comme Panda aquatique a été lié à une “campagne d’espionnage mondiale” qui a eu lieu en 2022 en ciblant sept organisations.
Ces entités comprennent les gouvernements, les organismes de bienfaisance catholiques, les organisations non gouvernementales (ONG) et les réservoirs de réflexion à Taïwan, en Hongrie, en Turquie, en Thaïlande, en France et aux États-Unis. L’activité, qui a eu lieu sur une période de 10 mois entre janvier et octobre 2022, a été nommée Opération Fishmedley par ESET.
“Les opérateurs ont utilisé des implants – comme Shadowpad, Sodamaster et Spyder – qui sont courants ou exclusifs aux acteurs des menaces alignées en Chine”, chercheur en sécurité Matthieu Faou dit dans une analyse.
Le panda aquatique, également appelé Bronze University, Charcoal Typhoon, Earth Lusca et Redhotel, est un groupe de cyber-espionnage de Chine qui est connu pour être actif depuis au moins 2019. La Slovake Cybersecurity Company suit l’équipe de piratage sous le nom de Fishongon.
Dit opérer dans le cadre du groupe Winnti Umbrella (AKA APT41, Barium ou Bronze Atlas), l’acteur de menace est également supervisé par l’entrepreneur chinois I-soon, dont certains employés ont été inculpés par le ministère américain de la Justice (DOJ) plus tôt ce mois-ci pour leur implication présumée dans plusieurs campagnes d’espionnage de 2016 à 2023.
Le collectif adversaire a également été attribué rétroactivement À une campagne de fin 2019 ciblant les universités de Hong Kong à l’aide de ShadowPad et Winnti Maleware, un ensemble d’intrusion qui a ensuite été lié au groupe Winnti.
Les attaques de 2022 sont caractérisées par l’utilisation de cinq familles de logiciels malveillants différentes: un chargeur nommé Scatterbee qui est utilisé pour laisser tomber Shadowpad, Spyder, Sodamaster et RpipeCommandander. Le vecteur d’accès initial exact utilisé dans la campagne n’est pas connu à ce stade.
“Apt10 a été le premier groupe connu pour avoir accès à [SodaMaster] Mais l’opération Fishmedley indique qu’il pourrait maintenant être partagé entre plusieurs groupes APT alignés par la Chine “, a déclaré Eset.
RPIPECOMMANDER est le nom donné à un implant C ++ précédemment sans papiers déployé contre une organisation gouvernementale non spécifiée en Thaïlande. Il fonctionne comme un shell inversé capable d’exécuter des commandes à l’aide de CMD.exe et de rassembler les sorties.
“Le groupe n’hésite pas à réutiliser des implants bien connus, tels que Shadowpad ou Sodamaster, même longtemps après avoir été décrit publiquement”, a déclaré Faou.