ESET, FishMonger ve I-SOON'un Küresel Casusluk Operasyonunu Ortaya Çıkardı
Siber güvenlik şirketi ESET, Çinli FishMonger ve I-SOON'un yürüttüğü FishMedley adlı küresel casusluk operasyonunu gün yüzüne çıkardı. Operasyon sırasında Asya, Avrupa ve Amerika Birleşik Devletleri'ndeki hükümetler, sivil toplum kuruluşları ve düşünce kuruluşları hedef alındı. FishMedley Operasyonu, FishMonger APT grubu tarafından gerçekleştirildiği düşünülüyor. ABD Adalet Bakanlığı, Çinli yüklenici I-SOON çalışanları hakkında 05 Mart 2025 tarihinde çok sayıda küresel casusluk operasyonuna karıştıkları iddiasıyla bir iddianame açıkladı.
ESET Araştırması ve Tehdit İstihbaratı Raporları
ESET Research tarafından yapılan araştırmalar ve Tehdit İstihbaratı Raporları doğrultusunda, FishMonger grubuna atfedilen saldırılar belgelenmiştir. 2022 yılında ESET, FishMedley Operasyonu adını verdiği bir kampanyada yedi kuruluşun hedef alındığını tespit etti. FBI, FishMonger için Aquatic Panda takma adını kullanarak, arananlar listesine eklediği kişileri belirtti. İddianame, 2023 yılında ESET'in yayımladığı özel bir APT istihbarat raporuyla ilişkilendirilen bazı saldırıları tanımlamaktadır.
ESET Research ve FishMonger Operasyonu
ESET Research, Asya, Avrupa ve Amerika Birleşik Devletleri'ndeki hükümetleri, sivil toplum kuruluşlarını ve düşünce kuruluşlarını hedef alan bu küresel kampanya hakkındaki teknik bilgileri paylaştı. FishMonger'ın operasyonunu inceleyen ESET araştırmacısı Matthieu Faou, FishMonger'ın kullandığı implantlar arasında ShadowPad ve SodaMaster gibi tehditlerin bulunduğunu belirtti.
FishMonger'ın Hedefleri ve Modus Operandi
FishMonger, FishMedley Operasyonu kapsamında farklı ülkelerdeki devlet kurumlarına, hayır kurumlarına, STK'lara ve düşünce kuruluşlarına saldırdı. Bu hedefler geniş kapsamlı olsa da çoğunlukla Çin hükümetinin dikkatini çekti. Saldırganlar, yerel ağ içinde ayrıcalıklı erişim gibi bilgilere sahip oldular. Operasyon sırasında ShadowPad, SodaMaster ve Spyder gibi implantlar kullanıldı.
I-SOON ve FishMonger İlişkisi
Chengdu merkezli Çinli bir yüklenici olan I-SOON tarafından yönetilen FishMonger grubu, Winnti Group çatısı altında faaliyet göstermekte ve muhtemelen Chengdu'da bulunan I-SOON ofisinde çalışmaktadır. FishMonger, Earth Lusca, TAG-22, Aquatic Panda veya Red Dev 10 olarak da bilinmektedir.
FishMonger'ın Araçları ve Saldırıları
FishMonger'ın araç seti arasında ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT bulunmaktadır. Grubun Hong Kong'daki üniversiteleri hedef alan sivil protestolar sırasında gerçekleştirdiği analizler de bilinmektedir. FishMonger'ın "Watering Hole Saldırıları" gerçekleştirdiği bilinmektedir.
