O grupo de ameaça persistente avançada (APT) ligado à China, conhecido como Aquatic Panda, foi associado a uma "campanha global de espionagem" que ocorreu em 2022, visando sete organizações.
Estas entidades incluem governos, instituições de caridade católicas, organizações não-governamentais (ONGs) e grupos de reflexão em Taiwan, Hungria, Turquia, Tailândia, França e Estados Unidos.
A atividade, que ocorreu ao longo de um período de 10 meses entre janeiro e outubro de 2022, recebeu o nome de Operação FishMedley pela ESET.
"Os operadores usaram implantes – como ShadowPad, SodaMaster e Spyder – que são comuns ou exclusivos para atores de ameaças alinhados com a China," disse o pesquisador de segurança Matthieu Faou em uma análise.
Aquatic Panda, também chamado de Bronze University, Charcoal Typhoon, Earth Lusca e RedHotel, é um grupo de espionagem cibernética da China que se sabe estar ativo desde pelo menos 2019.
A empresa eslovaca de cibersegurança está rastreando a equipe hacker sob o nome FishMonger.
Diz-se que opera sob o guarda-chuva do Winnti Group (também conhecido como APT41, Barium ou Bronze Atlas), o ator de ameaça também é supervisionado pelo contratado chinês i-Soon, cujos alguns funcionários foram acusados pelo Departamento de Justiça dos EUA (DoJ) no início deste mês por seu suposto envolvimento em múltiplas campanhas de espionagem de 2016 a 2023.
O coletivo adversário também foi retroativamente atribuído a uma campanha de final de 2019 visando universidades em Hong Kong usando malware ShadowPad e Winnti, um conjunto de intrusão que foi então associado ao Winnti Group.
Os ataques de 2022 são caracterizados pelo uso de cinco famílias diferentes de malware: Um carregador chamado ScatterBee, usado para soltar ShadowPad, Spyder, SodaMaster e RPipeCommander.
O vetor de acesso inicial exato usado na campanha não é conhecido neste estágio.
"APT10 foi o primeiro grupo conhecido a ter acesso ao [SodaMaster], mas a Operação FishMedley indica que agora pode ser compartilhado entre vários grupos APT alinhados com a China," disse a ESET.
RPipeCommander é o nome dado a um implante em C++ anteriormente não documentado, implantado contra uma organização governamental não especificada na Tailândia.
Funciona como um shell reverso capaz de executar comandos usando cmd.exe e coletar as saídas.
"O grupo não é tímido sobre reutilizar implantes bem conhecidos, tais como ShadowPad ou SodaMaster, mesmo muito tempo depois de terem sido publicamente descritos," disse Faou.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...