Kelompok Ancaman Persisten (APT) yang terkait dengan China. dikenal sebagai Panda Aquatik telah dikaitkan dengan “kampanye spionase global” yang terjadi pada tahun 2022 yang menargetkan tujuh organisasi.
Entitas-entitas ini termasuk pemerintah, badan amal Katolik, organisasi non-pemerintah (LSM), dan lembaga think tank di seluruh Taiwan, Hongaria, Turki, Thailand, Prancis, dan Amerika Serikat. Kegiatan tersebut, yang berlangsung selama 10 bulan antara Januari dan Oktober 2022, telah diberi nama kode Operasi Fishmedley oleh ESET.
“Operator menggunakan implan-seperti Shadowpad, Sodamaster, dan Spyder-yang umum atau eksklusif untuk aktor ancaman yang selaras China,” kata peneliti keamanan Matthieu Faou dalam sebuah analisis.
Aquatic Panda, juga disebut Universitas Perunggu, Topan Arang, Bumi Lusca, dan Redhotel, adalah kelompok spionase dunia maya dari Cina yang diketahui aktif sejak setidaknya 2019. Perusahaan Cybersecurity Slovakia melacak kru peretasan dengan nama Fishmonger.
Dikatakan beroperasi di bawah payung Winnti Group (alias APT41, Barium, atau Bronze Atlas), aktor ancaman juga diawasi oleh kontraktor Cina I-Soon, beberapa dari karyawan yang didakwa oleh Departemen Kehakiman AS (DOJ) awal bulan ini karena keterlibatan mereka dalam berbagai kampanye spionage dari 2016 hingga 2023.
Kolektif permusuhan juga telah dikaitkan secara surut dengan kampanye akhir 2019 yang menargetkan universitas di Hong Kong menggunakan Shadowpad dan Winnti Malware, set intrusi yang kemudian terikat dengan grup Winnti.
Serangan 2022 ditandai dengan penggunaan lima keluarga malware yang berbeda: loader bernama Scatterbee yang digunakan untuk menjatuhkan Shadowpad, Spyder, Sodamaster, dan RPIPECommander. Vektor akses awal yang tepat yang digunakan dalam kampanye tidak diketahui pada tahap ini.
“APT10 adalah kelompok pertama yang diketahui memiliki akses [SodaMaster] Tetapi Operasi Fishmedley menunjukkan bahwa sekarang dapat dibagikan di antara beberapa kelompok APT yang selaras China, “kata ESET.
RPIPECommander adalah nama yang diberikan kepada implan C ++ yang sebelumnya tidak berdokumen yang digunakan terhadap organisasi pemerintah yang tidak ditentukan di Thailand. Ini berfungsi sebagai cangkang terbalik yang mampu menjalankan perintah menggunakan cmd.exe dan mengumpulkan output.
“Kelompok ini tidak malu menggunakan kembali implan terkenal, seperti Shadowpad atau Sodamaster, bahkan lama setelah mereka dijelaskan secara publik,” kata Faou.
