El conjunto de amenaza persistente avanzadilla (APT) vinculada por China. conocido como Panda acuática se ha vinculado a una “campaña de espionaje universal” que tuvo lado en 2022 dirigidos a siete organizaciones.
Estas entidades incluyen gobiernos, organizaciones benéficas católicas, organizaciones no gubernamentales (ONG) y grupos de expertos en Taiwán, Hungría, Turquía, Tailandia, Francia y Estados Unidos. La actividad, que tuvo lado durante un período de 10 meses entre enero y octubre de 2022, ha recibido un nombre en código Operation Fishmedley por ESET.
“Los operadores usaron implantes, como ShadowPad, Sodamaster y Spyder, que son comunes o exclusivos para los actores de amenazas alineados por China”, dijo el investigador de seguridad Matthieu Faou en un descomposición.
El panda acuática, asimismo llamado Universidad de Bronce, Tifón de carbón, Earth Lusca y Redhotel, es un conjunto de ciber espionaje de China que se sabe que está activo desde al menos 2019. La compañía de seguridad cibernética eslovaca está rastreando a la tripulación de piratería bajo el nombre de Fishmonger.
Se dice que está operando bajo el paraguas del Género Winnti (asimismo conocido como APT41, Bario o Atlas de Bronce), el actor de amenaza asimismo es supervisado por el contratista chino I-soon, algunos de cuyos empleados fueron acusados por el Sección de Jurisprudencia de los Estados Unidos (DOJ) a principios de este mes por su supuesta billete en múltiples campañas de espiones de 2016 a 2023.
El colectivo adversario asimismo se ha atribuido retroactivamente a una campaña de finales de 2019 dirigida a universidades en Hong Kong usando Shadowpad y Winnti Malware, un conjunto de intrusos que luego estaba vinculado al conjunto Winnti.
Los ataques 2022 se caracterizan por el uso de cinco familias de malware diferentes: un cargador llamado Scatterbee que se usa para dejar caer Shadowpad, Spyder, Sodamaster y Rpipecommander. El vector de acercamiento auténtico exacto utilizado en la campaña no se conoce en esta etapa.
“APT10 fue el primer conjunto conocido en tener acercamiento a (Sodamaster), pero la Operación Fishmedley indica que ahora puede compartirse entre múltiples grupos APT alineados por China”, dijo Eset.
RPIPECMANDER es el nombre legado a un implante C ++ previamente indocumentado desplegado contra una ordenamiento ministerial no especificada en Tailandia. Funciona como un shell inverso que es capaz de ejecutar comandos usando cmd.exe y resumir las expectativas.
“El conjunto no es achicopalado para reutilizar implantes conocidos, como Shadowpad o Sodamaster, incluso mucho luego de ocurrir sido descritos públicamente”, dijo Faou.
