APT-группа "Aquatic Panda", связанная с Китаем, в период с января по октябрь 2022 года проводила активную операцию, получившую кодовое название "Operation FishMedley" от компании ESET.
В ходе кампании были атакованы семь организаций, включающих государственные учреждения, католические благотворительные организации, некоммерческие организации и аналитические центры. География нападений охватывала Тайвань, Венгрию, Турцию, Таиланд, Францию и Соединённые Штаты.
Операторы применяли ряд известных имплантов, характерных для групп, ориентированных на Китай. Среди используемых инструментов оказались ShadowPad, SodaMaster и Spyder, что подчеркивает схожесть методов с предыдущими атаками данного направления.
Группа известна под множеством названий – Bronze University, Charcoal Typhoon, Earth Lusca и RedHotel – и действует с 2019 года. Словацкая компания по кибербезопасности классифицирует её под именем "FishMonger".
Связь "Aquatic Panda" с группой Winnti, также известной как APT41, Barium и Bronze Atlas, является ключевым моментом в понимании структуры угрозы. Контрактор i-Soon осуществляет надзор над деятельностью, а несколько его сотрудников были обвинены Министерством юстиции США за участие в шпионских операциях в период с 2016 по 2023 год. Ранее группа принимала участие в кампании против университетов Гонконга в конце 2019 года с применением ShadowPad и Winnti.
В рамках кампании 2022 года применялось пять различных семейств вредоносного ПО. Загрузчик ScatterBee использовался для установки таких имплантов, как ShadowPad, Spyder, SodaMaster и ранее не зафиксированного C++-инструмента RPipeCommander, который применялся для организации реверс-шелла, выполнения команд через cmd.exe и сбора результатов против неустановленной государственной организации в Таиланде.
Начальный вектор доступа остался неизвестным, однако факт использования SodaMaster, ранее ассоциируемого с APT10, указывает на возможное совместное использование данного инструмента несколькими китайскими APT-группами.
Специалист по кибербезопасности Маттьё Фау отметил, что операторы не стесняются повторно применять известные импланты, такие как ShadowPad и SodaMaster, несмотря на их широкое раскрытие, что свидетельствует о систематическом повторении проверенных тактик.
Изображение носит иллюстративный характер
В ходе кампании были атакованы семь организаций, включающих государственные учреждения, католические благотворительные организации, некоммерческие организации и аналитические центры. География нападений охватывала Тайвань, Венгрию, Турцию, Таиланд, Францию и Соединённые Штаты.
Операторы применяли ряд известных имплантов, характерных для групп, ориентированных на Китай. Среди используемых инструментов оказались ShadowPad, SodaMaster и Spyder, что подчеркивает схожесть методов с предыдущими атаками данного направления.
Группа известна под множеством названий – Bronze University, Charcoal Typhoon, Earth Lusca и RedHotel – и действует с 2019 года. Словацкая компания по кибербезопасности классифицирует её под именем "FishMonger".
Связь "Aquatic Panda" с группой Winnti, также известной как APT41, Barium и Bronze Atlas, является ключевым моментом в понимании структуры угрозы. Контрактор i-Soon осуществляет надзор над деятельностью, а несколько его сотрудников были обвинены Министерством юстиции США за участие в шпионских операциях в период с 2016 по 2023 год. Ранее группа принимала участие в кампании против университетов Гонконга в конце 2019 года с применением ShadowPad и Winnti.
В рамках кампании 2022 года применялось пять различных семейств вредоносного ПО. Загрузчик ScatterBee использовался для установки таких имплантов, как ShadowPad, Spyder, SodaMaster и ранее не зафиксированного C++-инструмента RPipeCommander, который применялся для организации реверс-шелла, выполнения команд через cmd.exe и сбора результатов против неустановленной государственной организации в Таиланде.
Начальный вектор доступа остался неизвестным, однако факт использования SodaMaster, ранее ассоциируемого с APT10, указывает на возможное совместное использование данного инструмента несколькими китайскими APT-группами.
Специалист по кибербезопасности Маттьё Фау отметил, что операторы не стесняются повторно применять известные импланты, такие как ShadowPad и SodaMaster, несмотря на их широкое раскрытие, что свидетельствует о систематическом повторении проверенных тактик.
