-
L’opération FishMedley a ciblé des gouvernements, ONG et des groupes de réflexion en Asie, Europe et États-Unis.
-
Les attaquants ont utilisé des implants comme ShadowPad, SodaMaster et Spyder, typiques des acteurs malveillants liés à la Chine.
-
ESET attribue avec haute confiance l’opération FishMedley au groupe APT FishMonger.
-
ESET Research confirme, indépendamment de l’acte d’accusation du DOJ, que FishMonger est géré par I-SOON.
La-Femme (ESET) – Le Département américain de la Justice a rendu public un acte d’accusation contre des employés du sous-traitant chinois I-SOON pour leur implication dans plusieurs opérations d’espionnage mondial. Ces attaques, documentées par ESET Research dans ses rapports de renseignement sur les menaces (Cyber Threat Intelligence), ont été attribuées au groupe FishMonger, la branche opérationnelle d’I-SOON. Parmi elles figure une campagne de 2022 ciblant sept organisations, nommée Opération FishMedley. Le FBI (qui désigne FishMonger sous le nom d’Aquatic Panda) a ajouté les personnes inculpées à sa liste des personnes les plus recherchées. L’acte d’accusation décrit plusieurs attaques fortement liées à ce qu’ESET avait publié dans un rapport confidentiel début 2023. Aujourd’hui, ESET Research partage ses connaissances techniques sur cette campagne mondiale qui a ciblé des gouvernements, des ONG et des groupes de réflexion en Asie, Europe et États-Unis.
« En 2022, ESET a enquêté sur plusieurs compromissions utilisant des implants comme ShadowPad et SodaMaster, couramment employés par des acteurs malveillants liés à la Chine. Nous avons pu regrouper sept incidents indépendants sous l’Opération FishMedley » explique Matthieu Faou, chercheur chez ESET. « Durant nos recherches, nous avons pu confirmer indépendamment que FishMonger est une équipe d’espionnage opérée par I-SOON, un sous-traitant chinois basé à Chengdu qui a subi une fuite de documents en 2024. » ajoute Matthieu Faou.
Durant l’Opération FishMedley en 2022, FishMonger a attaqué des organisations gouvernementales à Taïwan et en Thaïlande, des œuvres caritatives catholiques en Hongrie et aux États-Unis, une ONG américaine, un groupe de réflexion géopolitique en France et une organisation non identifiée en Turquie. Ces cibles diverses présentent pour la plupart un intérêt évident pour le gouvernement chinois. Dans la majorité des cas, les attaquants semblaient disposer d’accès privilégiés au réseau local, comme des identifiants d’administrateur de domaine. Ils ont utilisé des implants tels que ShadowPad, SodaMaster et Spyder, courants ou exclusifs aux acteurs malveillants liés à la Chine. Parmi les autres outils employés par FishMonger figurent un outil personnalisé d’exfiltration de mots de passe, un outil d’interaction avec Dropbox probablement utilisé pour extraire des données du réseau victime, le scanner réseau fscan et un scanner NetBIOS.
FishMonger, opéré par le sous-traitant chinois I-SOON, fait partie du groupe Winnti et fonctionne probablement depuis Chengdu, où I-SOON semble toujours basé. Il est également connu sous les noms d’Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10. ESET a publié une analyse de ce groupe début 2020, lorsqu’il ciblait intensivement des universités de Hong Kong pendant les manifestations civiques débutées en juin 2019. Le groupe est connu pour ses attaques par point d’eau. Son arsenal comprend ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS et le RAT BIOPASS.
Pour une analyse technique de l’opération FishMonger, FishMedley, consultez l’article de blog «Operation FishMedley», sur WeLiveSecurity.com.
À propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées. Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur… les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également. C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun.
