Am 5. März 2025 enthüllte das US-Justizministerium (Department of Justice, DOJ) eine Anklageschrift gegen Mitarbeiter des chinesischen IT-Dienstleisters I-SOON wegen ihrer Beteiligung an mehreren globalen Spionageoperationen. Dazu gehören auch Angriffe, die wir zuvor dokumentiert und der APT-Gruppe FishMonger - dem operativen Arm von I-SOON - zugeschrieben haben. Dazu gehört die Kompromittierung von sieben Organisationen, die im Jahr 2022 Ziel von Cyberangriffen waren. Wir haben diese Angriffe unter dem Namen "Operation FishMedley" zusammengefasst.
Die wichtigsten Punkte in diesem Blogpost:
- Die Operation FishMedley richtete sich gegen Regierungen, Nichtregierungsorganisationen und Think Tanks in Asien, Europa und den USA.
- Die Hacker verwendeten Implantate - wie ShadowPad, SodaMaster und Spyder -, die häufig oder ausschließlich von Bedrohungsakteuren benutzt werden, die mit China verbündet sind.
- Wir gehen davon aus, dass die Operation FishMedley von der APT-Gruppe FishMonger durchgeführt wurde.
- Unabhängig von der Anklage des DOJ haben wir festgestellt, dass FishMonger von I-SOON betrieben wird.
FishMonger-Profil
FishMonger - eine Gruppe, die vermutlich von dem chinesischen Auftragnehmer I-SOON betrieben wird (siehe unseren APT-Aktivitätsbericht für das vierte Quartal 2023 und das erste Quartal 2024) - gehört zur Winnti-Gruppe und operiert höchstwahrscheinlich von Chengdu in China aus. Dort befand sich auch das Büro von I-SOON. FishMonger ist auch unter den Namen Earth Lusca, TAG-22, Aquatic Panda oder Red Dev 10 bekannt. Wir haben Anfang 2020 eine Analyse dieser Gruppe veröffentlicht, als sie während der Bürgerproteste im Juni 2019 Universitäten in Hongkong massiv angriff. Ursprünglich hatten wir den Vorfall der Gruppe Winnti zugeschrieben, gehen nun aber davon aus, dass FishMonger dahinter steckt.
Wie Trend Micro berichtet, ist die Gruppe dafür bekannt, Watering-Hole-Angriffe durchzuführen. Das Toolset von FishMonger umfasst ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS und das BIOPASS RAT.
Überblick
Am 5. März 2025 veröffentlichte das US-Justizministerium eine Pressemitteilung und entsiegelte eine Anklageschrift gegen I-SOON-Mitarbeiter und Beamte des chinesischen Ministeriums für öffentliche Sicherheit, die an mehreren Spionagekampagnen zwischen 2016 und 2023 beteiligt waren. Das FBI setzte die in der Anklageschrift genannten Personen auf die "Most Wanted"-Liste und veröffentlichte ein Fahndungsplakat (s. Abb. 1).
Die Anklageschrift beschreibt mehrere Angriffe, die in engem Zusammenhang mit dem stehen, was wir Anfang 2023 in einem privaten APT Intelligence Report veröffentlicht haben. In diesem Blogpost teilen wir unsere technischen Erkenntnisse über die Kampagne, die sich gegen Regierungen, Nichtregierungsorganisationen und Think Tanks in Asien, Europa und den USA richtete.
Im Jahr 2022 haben wir mehrere Angriffe untersucht, bei denen Implantate wie ShadowPad und SodaMaster verwendet wurden, die in der Regel von Bedrohungsakteuren mit chinesischem Hintergrund eingesetzt werden. Wir konnten sieben unabhängige Vorfälle für diesen Blogpost zusammenfassen und haben diese Kampagne Operation FishMedley genannt.
FishMonger und I-SOON
Im Zuge unserer Recherchen konnten wir unabhängig feststellen, dass es sich bei FishMonger um ein Spionageteam handelt, das von I-SOON betrieben wird, einem chinesischen Auftragnehmer mit Sitz in Chengdu, der 2024 von einem berüchtigten Dokumentenleck betroffen war - siehe diese umfassende Analyse von Harfang Labs.
Viktimologie
Tabelle 1 enthält Einzelheiten zu den sieben von uns identifizierten Opfern. Die Branchen und Länder sind unterschiedlich, aber die meisten sind offensichtlich für die chinesische Regierung von Interesse.
Tabelle 1. Details zur Viktimologie
| Victim | Date of compromise | Country | Vertical |
| A | January 2022 | Taiwan | Governmental organization. |
| B | January 2022 | Hungary | Catholic organization. |
| C | February 2022 | Turkey | Unknown. |
| D | March 2022 | Thailand | Governmental organization. |
| E | April 2022 | United States | Catholic charity operating worldwide. |
| F | June 2022 | United States | NGO – mainly active in Asia. |
| G | October 2022 | France | Geopolitical think tank. |
Tabelle 2 gibt einen Überblick über die Implantate, die bei jedem Eindringen im Rahmen der Operation FishMedley verwendet wurden.
Tabelle 2. Details zu den bei jedem Opfer eingesetzten Implantaten
| Victim | Tool | ScatterBee-packed ShadowPad | Spyder | SodaMaster | RPipeCommander |
| A | ● | |||
| B | ● | |||
| C | ● | |||
| D | ● | ● | ● | |
| E | ● | |||
| F | ● | ● | ||
| G | ● |
Eine umfassende technische Analyse finden Sie im englischsprachigen Original-Blogpost.
