O grupo de ameaça persistente avançada (APT) ligado à China, conhecido como Aquatic Panda, foi associado a uma "campanha global de espionagem" que ocorreu em 2022, visando sete organizações.
Estas entidades incluem governos, instituições de caridade católicas, organizações não-governamentais (ONGs) e grupos de reflexão em Taiwan, Hungria, Turquia, Tailândia, França e Estados Unidos.
A atividade, que ocorreu ao longo de um período de 10 meses entre janeiro e outubro de 2022, recebeu o nome de Operação FishMedley pela ESET.
"Os operadores usaram implantes – como ShadowPad, SodaMaster e Spyder – que são comuns ou exclusivos para atores de ameaças alinhados com a China," disse o pesquisador de segurança Matthieu Faou em uma análise.
Aquatic Panda, também chamado de Bronze University, Charcoal Typhoon, Earth Lusca e RedHotel, é um grupo de espionagem cibernética da China que se sabe estar ativo desde pelo menos 2019.
A empresa eslovaca de cibersegurança está rastreando a equipe hacker sob o nome FishMonger.
Diz-se que opera sob o guarda-chuva do Winnti Group (também conhecido como APT41, Barium ou Bronze Atlas), o ator de ameaça também é supervisionado pelo contratado chinês i-Soon, cujos alguns funcionários foram acusados pelo Departamento de Justiça dos EUA (DoJ) no início deste mês por seu suposto envolvimento em múltiplas campanhas de espionagem de 2016 a 2023.
O coletivo adversário também foi retroativamente atribuído a uma campanha de final de 2019 visando universidades em Hong Kong usando malware ShadowPad e Winnti, um conjunto de intrusão que foi então associado ao Winnti Group.
Os ataques de 2022 são caracterizados pelo uso de cinco famílias diferentes de malware: Um carregador chamado ScatterBee, usado para soltar ShadowPad, Spyder, SodaMaster e RPipeCommander.
O vetor de acesso inicial exato usado na campanha não é conhecido neste estágio.
"APT10 foi o primeiro grupo conhecido a ter acesso ao [SodaMaster], mas a Operação FishMedley indica que agora pode ser compartilhado entre vários grupos APT alinhados com a China," disse a ESET.
RPipeCommander é o nome dado a um implante em C++ anteriormente não documentado, implantado contra uma organização governamental não especificada na Tailândia.
Funciona como um shell reverso capaz de executar comandos usando cmd.exe e coletar as saídas.
"O grupo não é tímido sobre reutilizar implantes bem conhecidos, tais como ShadowPad ou SodaMaster, mesmo muito tempo depois de terem sido publicamente descritos," disse Faou.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...