Se connecter
Inscription
Mot de passe perdu
FishMedley, opération d'espionnage mondiale par les sociétés chinoises FishMonger et I-SOON, révélée par ESET Research
Publié le 20/03/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
MONTREAL, BRATISLAVA, le 20 mars 2025 — Le ministère américain de la Justice (DOJ) a rendu public un acte d'accusation contre des employés de l'entreprise chinoise I-SOON pour leur implication dans plusieurs opérations d'espionnage mondiales. Cela concerne des attaques précédemment documentées par ESET Research dans ses rapports de renseignement sur les menaces et attribuées au groupe FishMonger, branche opérationnelle d'I-SOON. Une de ces attaques concerne sept organisations identifiées par ESET comme étant ciblées par une campagne de 2022 baptisée « Opération FishMedley ». Simultanément à l'acte d'accusation, le FBI (qui qualifie FishMonger d'« Aquatic Panda ») a ajouté les personnes nommées à sa liste des personnes les plus recherchées. L'acte d'accusation décrit plusieurs attaques étroitement liées à ce qu’ESET a publié, début 2023, dans un rapport de renseignements privé (private APT intelligence report) sur les menaces persistantes avancées (APT). Aujourd'hui, ESET Research partage ses connaissances techniques sur cette campagne mondiale qui a ciblé des gouvernements, des ONG et des groupes de réflexion en Asie, en Europe et aux USA.
« En 2022, ESET a enquêté sur plusieurs compromissions impliquant les implants tels que ShadowPad et SodaMaster, couramment utilisés par les acteurs malveillants pro-chinois. Nous avons réussi à regrouper sept incidents indépendants pour l'opération FishMedley », explique Matthieu Faou, le chercheur d’ESET, qui a enquêté sur l'opération FishMonger. « Nos recherches ont confirmé, de manière indépendante, que FishMonger est une équipe d'espionnage dirigée par I SOON, un sous-traitant chinois basé à Chengdu, victime d'une fuite de documents notoire en 2024 », poursuit M. Faou.
En 2022, lors de l'opération FishMedley, FishMonger a attaqué des organisations gouvernementales à Taïwan et en Thaïlande, des organisations caritatives catholiques en Hongrie et aux US, une ONG aux US, un groupe de réflexion géopolitique en France et une organisation inconnue en Turquie. Ces divers secteurs et pays sont, pour la plupart, d’un intérêt évident pour le gouvernement chinois.
Dans la plupart des cas, les attaquants semblaient disposer d'un accès privilégié au réseau local, dont des identifiants d'administrateur de domaine. Les opérateurs ont utilisé des implants, tels que ShadowPad, SodaMaster et Spyder, qui sont courants ou exclusifs aux acteurs malveillants prochinois. Parmi les autres outils utilisés par FishMonger dans FishMedley, il y a un exfiltreur de mots de passe personnalisé ; un outil d'interaction avec Dropbox, probablement utilisé pour exfiltrer des données du réseau de la victime ; le scanner réseau fscan ; un scanner NetBIOS.
FishMonger, un groupe dirigé par l'entrepreneur chinois I-SOON, fait partie du groupe Winnti et opère probablement depuis Chengdu, en Chine, où se trouve probablement le bureau d'I-SOON. FishMonger est aussi connu sous les noms de Earth Lusca, TAG 22, Aquatic Panda et Red Dev 10. Début 2020, ESET a publié une analyse de ce groupe, alors qu'il ciblait massivement des universités de Hong Kong lors des manifestations qui avaient débuté en juin 2019. Ce groupe est connu pour ses attaques watering-hole. FishMonger possède une panoplie d'outils comprenant ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS et le RAT BIOPASS.
Pour une analyse détaillée et technique de l'opération FishMedley, consultez le nouvel article du blog d'ESET Research, “Operation FishMedley,” sur www.WeLiveSecurity.com. Suivez ESET Research sur X pour ne rien manquer de l’actualité.
ESET® offre une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cyber-menaces connues et émergentes, sécurisant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection des terminaux, du cloud ou des appareils mobiles, les solutions et services cloud d’ESET, basés sur l'IA, sont hautement efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur.
Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou sur LinkedIn, Facebook et X.
« En 2022, ESET a enquêté sur plusieurs compromissions impliquant les implants tels que ShadowPad et SodaMaster, couramment utilisés par les acteurs malveillants pro-chinois. Nous avons réussi à regrouper sept incidents indépendants pour l'opération FishMedley », explique Matthieu Faou, le chercheur d’ESET, qui a enquêté sur l'opération FishMonger. « Nos recherches ont confirmé, de manière indépendante, que FishMonger est une équipe d'espionnage dirigée par I SOON, un sous-traitant chinois basé à Chengdu, victime d'une fuite de documents notoire en 2024 », poursuit M. Faou.
En 2022, lors de l'opération FishMedley, FishMonger a attaqué des organisations gouvernementales à Taïwan et en Thaïlande, des organisations caritatives catholiques en Hongrie et aux US, une ONG aux US, un groupe de réflexion géopolitique en France et une organisation inconnue en Turquie. Ces divers secteurs et pays sont, pour la plupart, d’un intérêt évident pour le gouvernement chinois.
Dans la plupart des cas, les attaquants semblaient disposer d'un accès privilégié au réseau local, dont des identifiants d'administrateur de domaine. Les opérateurs ont utilisé des implants, tels que ShadowPad, SodaMaster et Spyder, qui sont courants ou exclusifs aux acteurs malveillants prochinois. Parmi les autres outils utilisés par FishMonger dans FishMedley, il y a un exfiltreur de mots de passe personnalisé ; un outil d'interaction avec Dropbox, probablement utilisé pour exfiltrer des données du réseau de la victime ; le scanner réseau fscan ; un scanner NetBIOS.
FishMonger, un groupe dirigé par l'entrepreneur chinois I-SOON, fait partie du groupe Winnti et opère probablement depuis Chengdu, en Chine, où se trouve probablement le bureau d'I-SOON. FishMonger est aussi connu sous les noms de Earth Lusca, TAG 22, Aquatic Panda et Red Dev 10. Début 2020, ESET a publié une analyse de ce groupe, alors qu'il ciblait massivement des universités de Hong Kong lors des manifestations qui avaient débuté en juin 2019. Ce groupe est connu pour ses attaques watering-hole. FishMonger possède une panoplie d'outils comprenant ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS et le RAT BIOPASS.
Pour une analyse détaillée et technique de l'opération FishMedley, consultez le nouvel article du blog d'ESET Research, “Operation FishMedley,” sur www.WeLiveSecurity.com. Suivez ESET Research sur X pour ne rien manquer de l’actualité.
ESET® offre une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cyber-menaces connues et émergentes, sécurisant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection des terminaux, du cloud ou des appareils mobiles, les solutions et services cloud d’ESET, basés sur l'IA, sont hautement efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur.
Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou sur LinkedIn, Facebook et X.
Liens associés
18/03/2025 @ 09:11:52
Poster un commentaire
Programmation
Google
Mobile
Apple
Jeux Vidéos
