5 марта 2025 года было объявлено об обвинительном заключении со стороны Минюста США в отношении сотрудников компании I-SOON из Китая за их участие в глобальных операциях шпионажа. Их деятельность, включая компрометацию организаций в Азии, Европе и США, была приписана APT-группе FishMonger и описана как Operation FishMedley. Используемые имплантаты, такие как ShadowPad и Spyder, связаны с Китаем.
Описание
Группа FishMonger, управляемая I-SOON, известна также как Earth Lusca, TAG-22, Aquatic Panda или Red Dev 10. Они активно атаковали университеты в Гонконге во время протестов, начавшихся в 2019 году, и используют инструменты как ShadowPad, FunnySwitch и другие. FishMonger была приписана к Winnti Group и большинство своих действий совершает из Китая.
Минюст США и ФБР провели расследование по многочисленным кампаниям шпионажа, охватывающим период с 2016 по 2023 годы. FishMonger, как группа, управляемая I-SOON, атаковала различные организации и правительства, проявляя особый интерес к информации, значимой для китайского правительства.
Технический анализ показывает, что хакеры FishMonger использовали различные методы для вторжения в локальные сети и бокового перемещения для установки имплантатов на другие машины. Использовались различные инструменты, включая ShadowPad, Spyder, Cobalt Strike и другие.
Индикаторы компрометации
IPv4
- 162.33.178.23
- 168.100.10.136
- 192.46.223.211
- 213.59.118.124
- 61.238.103.165
- 78.141.202.70
Domains
- api.googleauthenticatoronline.com
SHA1
- 3630f62771360540b66701abc8f6c868087a6918
- 3c08c694c222e7346bd8633461c5d19eae18b661
- 3f5f6839c7dcb1d164e4813af2e30e9461ab35c1
- 5401e3ef903afe981cfc2840d5f0ef2f1d83b0bf
- 918ddd842787d64b244d353bfc0e14cc037d2d97
- a4f68d0f1c72c3ac9d70919c17dc52692c43599e
- d61a4387466a0c999981086c2c994f2a80193ce3
- d8b631c551845f892ebb5e7d09991f6c9d4facad
- f12c8cec813257890f4856353abd9f739deed890