El Departamento de Justicia de Estados Unidos (DOJ) ha presentado una acusación formal contra empleados de la empresa contratista china I-SOON, por su implicación en múltiples operaciones de espionaje a nivel mundial. Entre las actividades atribuidas a este grupo destacan ataques previamente identificados y documentados por ESET Research en sus informes de Threat Intelligence, donde se señalaba al grupo FishMonger —considerado el brazo operativo de I-SOON— como responsable de una serie de ciberataques, incluyendo la denominada Operación FishMedley, llevada a cabo en 2022 y dirigida contra siete organizaciones específicas.
Paralelamente, el FBI, que hace referencia a FishMonger bajo el nombre Aquatic Panda, ha incluido a los empleados implicados en su lista de los más buscados, detallando además varios ataques vinculados estrechamente con la información recopilada por ESET en un informe privado sobre amenazas avanzadas (APT) publicado a principios de 2023.
En este contexto, ESET Research ha hecho pública hoy información técnica sobre esta campaña global, que tuvo como principales objetivos a gobiernos, organizaciones no gubernamentales (ONG) y grupos de expertos ubicados en Asia, Europa y Estados Unidos, poniendo de manifiesto el alcance y la sofisticación de estas operaciones de ciberespionaje.
“Durante 2022, ESET investigó varias intrusiones donde se utilizaron cargas maliciosas como ShadowPad y SodaMaster, habituales entre actores de amenazas alineados con China, y pudimos agrupar siete incidentes independientes dentro de la Operación FishMedley”, señala el investigador de ESET Matthieu Faou, quien analizó la operación de FishMonger. “Durante nuestra investigación, pudimos confirmar de forma independiente que FishMonger es un equipo de espionaje operado por I-SOON, un contratista chino con sede en Chengdu que sufrió una filtración de documentos en 2024”.
Durante 2022, en el marco de la Operación FishMedley, FishMonger atacó a organizaciones gubernamentales en Taiwán y Tailandia, organizaciones benéficas católicas en Hungría y Estados Unidos, una ONG en Estados Unidos, un grupo de expertos en geopolítica en Francia y una organización no identificada en Turquía. Aunque los sectores y países afectados son diversos, la mayoría son de evidente interés para el gobierno chino.
En la operación también se detectó que, en la mayoría de los casos, los atacantes parecían tener acceso privilegiado dentro de la red local, como credenciales de administrador de dominio, y entre las herramientas utilizadas, se encontró un software personalizado para exfiltrar contraseñas, una herramienta utilizada para interactuar con Dropbox, probablemente utilizada para exfiltrar datos de la red de la víctima, el escáner de red fscan y un escáner NetBIOS. Además, el conjunto de herramientas de FishMonger incluía ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS y el BIOPASS RAT.
FishMonger, operado por el contratista chino ISOON, forma parte de Winnti Group y, con alta probabilidad, opera desde China, específicamente desde la ciudad de Chengdu, donde se cree que I-SOON sigue teniendo su sede. El grupo es también conocido como Earth Lusca, TAG-22, Aquatic Panda o Red Dev 10. A principios del 2020, ESET publicó un análisis del grupo llamado “Winnti Group targeting universities in Hong Kong”, cuando dirigieron una intensa campaña contra universidades en Hong Kong durante las protestas civiles que comenzaron en junio de 2019. Además, FishMonger es conocido por llevar a cabo ataques watering-hole.
Para un análisis más detallado y un desglose técnico de la actividad de FishMonger, te invitamos a leer la publicación del blog “Operación FishMedley” en WeLiveSecurity.com.
