Il gruppo di minacce persistenti avanzate (APT) noto come Aquatic Panda, legato alla Cina, è stato coinvolto in una campagna di spionaggio globale durata dieci mesi nel 2022. Questa operazione, denominata Operation FishMedley, ha preso di mira sette organizzazioni, tra cui governi, enti di beneficenza cattolici, ONG e think tank in diverse nazioni come Taiwan, Ungheria, Turchia, Thailandia, Francia e Stati Uniti. Secondo un'analisi di ESET, gli operatori hanno utilizzato impianti come ShadowPad, SodaMaster e Spyder, comuni o esclusivi per attori di minaccia allineati alla Cina.

Aquatic Panda e il suo contesto

Aquatic Panda, noto anche come Bronze University, Charcoal Typhoon, Earth Lusca e RedHotel, è un gruppo di spionaggio informatico attivo dal 2019. ESET, azienda di sicurezza informatica slovacca, segue il gruppo sotto il nome di FishMonger. Questo attore di minaccia opera sotto l'ombrello del Winnti Group (noto anche come APT41, Barium o Bronze Atlas) ed è supervisionato dal contractor cinese i-Soon, i cui dipendenti sono stati recentemente incriminati dal Dipartimento di Giustizia degli Stati Uniti per il loro coinvolgimento in campagne di spionaggio dal 2016 al 2023.

Campagne di attacco e tecniche utilizzate

Il collettivo è stato retrospettivamente attribuito a una campagna del 2019 che ha preso di mira università a Hong Kong utilizzando malware ShadowPad e Winnti, un set di intrusioni collegato al Winnti Group. Gli attacchi del 2022 sono caratterizzati dall'uso di cinque diverse famiglie di malware: un loader chiamato ScatterBee usato per distribuire ShadowPad, Spyder, SodaMaster e RPipeCommander. Al momento non è noto il vettore di accesso iniziale utilizzato nella campagna.

Condivisione delle risorse tra gruppi APT

L'APT10 è stato il primo gruppo noto ad avere accesso a SodaMaster, ma Operation FishMedley indica che potrebbe ora essere condiviso tra più gruppi APT allineati alla Cina. RPipeCommander è il nome dato a un impianto C++ precedentemente non documentato, distribuito contro un'organizzazione governativa non specificata in Thailandia. Funziona come una shell inversa in grado di eseguire comandi utilizzando cmd.exe e raccogliere i risultati.

Persistenza e adattabilità

Il gruppo non è timido nel riutilizzare impianti ben noti come ShadowPad o SodaMaster, anche molto tempo dopo la loro descrizione pubblica. L'analisi di ESET evidenzia la persistenza e l'adattabilità di Aquatic Panda nell'uso di tecniche consolidate per raggiungere i propri obiettivi di spionaggio.