Operation FishMedley
Az ESET kutatói ismertetik az Operation FishMedley névre keresztelt globális kémkedési művelet részleteit, amelyet a kínai I-SOON vállalathoz köthető FishMonger APT (Earth Lusca, TAG-22, Aquatic Panda vagy Red Dev 10) csoport hajtott végre.
A támadások 2022-ben hét különböző szervezetet érintettek, köztük kormányzati intézményeket, nem kormányzati szervezeteket (NGO-kat) és agytrösztöket Ázsiában, Európában és az Egyesült Államokban. Az áldozatok között volt egy tajvani kormányzati szervezet, egy magyar katolikus szervezet, egy törökországi ismeretlen szervezet, egy thaiföldi kormányzati intézmény, egy amerikai katolikus jótékonysági szervezet, egy Ázsiában aktív amerikai NGO és egy francia geopolitikai agytröszt.
A FishMonger csoport a támadások során a ShadowPad moduláris hátsóajtó (backdoor) programot használta, amelyet kizárólag Kínával kapcsolatba hozható APT csoportok használnak. Emellett a SodaMaster kémprogramot, amely adatgyűjtésre és távoli hozzáférésre szolgál és a Spyder kémprogramot, amelyet a célpontok megfigyelésére és adatlopásra használnak.
Március 5-én az Egyesült Államok Igazságügyi Minisztériuma (DOJ) nyilvánosságra hozta a vádiratot, amely 12 kínai állampolgárt vádol meg, köztük a Kínai Közbiztonsági Minisztérium (MPS) két tisztviselőjét, valamint az Anxun Information Technology Co. Ltd. (közismert nevén i-Soon) alkalmazottait, akik 2016 és 2023 között több globális kiberkémkedési kampányban vettek részt. Az ügy nemcsak adatlopásról, hanem geopolitikai befolyásszerzésről, kritikus infrastruktúrák feltérképezéséről és civil társadalmi szervezetek megfigyeléséről szól, amelyet hivatalos és nem hivatalos (szerződéses) eszközökkelhajtottak végre.A vádirat komoly nemzetközi visszhangot váltott ki, és várhatóan hatással lesz a nyugati országok és Kína közötti digitális biztonsági együttműködésekre.
Az ESET kutatói részletesen ismertetik a csoport által alkalmazott eljárásokat, a használt eszközöket és megosztották az azonosításhoz szükséges indikátorokat.
