ESET Research onthult Operation FishMedley- wereldwijde spionageoperatie door China’s FishMonger en I-SOON

Sliedrecht, 20 maart 2025 – Het Amerikaanse ministerie van Justitie (DOJ) heeft onlangs een aanklacht openbaar gemaakt tegen medewerkers van de Chinese aannemer I-SOON voor hun betrokkenheid bij verschillende wereldwijde spionageoperaties. Deze omvatten aanvallen die ESET Research eerder documenteerde in haar Threat Intelligence-rapporten en toeschreef aan de FishMonger-groep — de operationele arm van I-SOON — waaronder een aanval van zeven organisaties door ESET werden geïdentificeerd als doelwit in een campagne uit 2022, die ESET Operation FishMedley noemde. Samen met de aanklacht voegde de FBI (die FishMonger als Aquatic Panda aanduidt) de aangeklaagden toe aan haar lijst van meest gezochte personen. De aanklacht beschrijft verschillende aanvallen die sterk verwant zijn aan wat we publiceerden in een privé APT-intelligence rapport begin 2023. Vandaag deelt ESET Research technische kennis over deze wereldwijde campagne die gericht was op overheden, niet-gouvernementele organisaties (NGO’s) en denktanks in Azië, Europa en de Verenigde Staten.

“Tijdens 2022 onderzocht ESET verschillende compromissen waarbij implantaten zoals ShadowPad en SodaMaster, die vaak worden gebruikt door China-georiënteerde dreigingsactoren, werden ingezet. We konden zeven onafhankelijke incidenten clusteren voor Operation FishMedley,” zegt ESET-onderzoeker Matthieu Faou, die de operatie van FishMonger onderzocht. “Tijdens ons onderzoek konden we onafhankelijk bevestigen dat FishMonger een spionagegroep is die wordt geëxploiteerd door I-SOON, een Chinese aannemer uit Chengdu, die in 2024 te maken kreeg met een beruchte documentlek,” voegt Faou toe.

In 2022 viel FishMonger tijdens Operation FishMedley overheidsorganisaties in Taiwan en Thailand aan, katholieke liefdadigheidsinstellingen in Hongarije en de Verenigde Staten, een NGO in de Verenigde Staten, een geopolitieke denktank in Frankrijk en een onbekende organisatie in Turkije. Deze doelwitten en landen zijn divers, maar de meeste zijn duidelijk van belang voor de Chinese overheid.

In de meeste gevallen leken de aanvallers bevoorrechte toegang te hebben binnen het lokale netwerk, zoals domeinbeheerder-gegevens. Operators maakten gebruik van implantaten zoals ShadowPad, SodaMaster en Spyder, die vaak of exclusief worden gebruikt door China-georiënteerde dreigingsactoren. Andere tools die door FishMonger werden gebruikt in FishMedley zijn een aangepast wachtwoord-exfiltratiehulpmiddel, een tool om te communiceren met Dropbox, waarschijnlijk gebruikt om gegevens uit het netwerk van het slachtoffer te exfiltreren, de fscan-netwerkscanner en een NetBIOS-scanner.

FishMonger — een groep geëxploiteerd door de Chinese aannemer I-SOON — valt onder de Winnti Group en opereert waarschijnlijk vanuit China, vanuit de stad Chengdu, waar naar verwachting het kantoor van I-SOON is gevestigd. FishMonger is ook bekend als Earth Lusca, TAG-22, Aquatic Panda of Red Dev 10. ESETpubliceerde een analyse van deze groep begin 2020, toen deze zwaar richtte op universiteiten in Hong Kong tijdens de burgerlijke protesten die in juni 2019 begonnen. De groep staat bekend om het uitvoeren van watering-hole-aanvallen. FishMonger’s toolset omvat ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS en de BIOPASS RAT.

Voor een gedetailleerdere analyse en technische uitleg van FishMonger’s operatie, FishMedley, kun je het laatste ESET Research artikel “Operation FishMedley” lezen op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.