Aquatic Panda: 10-месеца, 7 глобални цели, 5 семейства зловреден софтуер

Свързаната с Китай група за напреднали постоянни заплахи (APT), известна като Aquatic Panda, е свързана с „глобална кампания за шпионаж“, проведена през 2022 г. и насочена към седем организации.

Тези организации включват правителства, католически благотворителни организации, неправителствени организации (НПО) и мозъчни тръстове в Тайван, Унгария, Турция, Тайланд, Франция и Съединените щати. Дейността, която се е състояла в продължение на 10 месеца между януари и октомври 2022 г., е получила кодовото име Операция FishMedley от ESET.

„Операторите са използвали импланти – като ShadowPad, SodaMaster и Spyder – които са общи или изключителни за участниците в заплахи, свързани с Китай“, казва в анализ изследователят по сигурността Матийо Фау.

Aquatic Panda, наричана още Bronze University, Charcoal Typhoon, Earth Lusca и RedHotel, е група за кибершпионаж от Китай, за която се знае, че е активна поне от 2019 г. Словашката компания за киберсигурност проследява хакерския екип под името FishMonger.

Казва се, че действа под шапката на Winnti Group (известна още като APT41, Barium или Bronze Atlas), заплахата се наблюдава и от китайския изпълнител i-Soon, някои от чиито служители бяха обвинени от Министерството на правосъдието на САЩ (DoJ) по-рано този месец за предполагаемото им участие в множество шпионски кампании от 2016 г. до 2023 г.

На противниковия колектив със задна дата се приписва и кампания от края на 2019 г., насочена към университети в Хонконг с помощта на зловреден софтуер ShadowPad и Winnti – набор от прониквания, който след това е свързан с Winnti Group.

Атаките през 2022 г. се характеризират с използването на пет различни семейства зловреден софтуер: Зареждащо устройство на име ScatterBee, което се използва за пускане на ShadowPad, Spyder, SodaMaster и RPipeCommander. На този етап не е известен точният първоначален вектор за достъп, използван в кампанията.

„APT10 беше първата група, за която се знаеше, че има достъп до [SodaMaster], но операция FishMedley показва, че сега той може да е споделен между множество свързани с Китай APT групи“, казват от ESET.

RPipeCommander е името, дадено на недокументиран преди това C++ имплант, използван срещу неуточнена правителствена организация в Тайланд. Той функционира като обратна обвивка, която е способна да изпълнява команди с помощта на cmd.exe и да събира резултатите.

„Групата не се притеснява да използва повторно добре познати импланти, като ShadowPad или SodaMaster, дори дълго след като са били публично описани“, казва Фау.

#ФБР, # шпионаж

The Hacker News

Подобни

MoonPeak RAT използва LNK файлове за атаки срещу криптоинвеститори

25.01.2026

AiTM фишинг кампания компрометира енергийни организации чрез SharePoint

25.01.2026

Okta предупреждава за нови vishing кампании към SSO акаунти

24.01.2026

Нов Android троян използва машинно обучение

23.01.2026

Evelyn Stealer - нов зловреден софтуер атакува разработчици

23.01.2026

Фишинг атаки през LinkedIn

22.01.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"