ESET global casusluk operasyonunu ortaya çıkardı 

Siber güvenlik şirketi ESET, Çinli FishMonger ve I-SOON’un global casusluk operasyonu olan FishMedley’i ortaya çıkardı. FishMedley Operasyonu sırasında gaye alınan dikey kümeler ortasında Asya, Avrupa ve Amerika Birleşik Devletleri’ndeki hükümetler, STK’lar ve fikir kuruluşları yer alıyor. ESET, FishMedley Operasyonu’nun FishMonger APT (gelişmiş kalıcı tehdit) kümesi tarafından gerçekleştirildiğini düşünüyor.

ABD Adalet Bakanlığı (DOJ) 05 Mart 2025 tarihinde  Çinli yüklenici I-SOON çalışanları hakkında çok sayıda global casusluk operasyonuna karıştıkları gerekçesiyle bir iddianame açıkladı. Bunlar ortasında ESET Research’ün daha evvel Tehdit İstihbaratı raporlarında belgelediği ve I-SOON’un operasyonel kolu olan FishMonger kümesine atfedilen hücumlar da yer alıyor. 2022’de ESET’in FishMedley Operasyonu ismini verdiği bir kampanyada maksat alındığını belirlediği yedi kuruluşun dahil olduğu bir atak da bulunuyor. İddianamenin yanı sıra FBI (FishMonger’dan Aquatic Panda olarak bahsediyor) ismi geçenleri En Çok Arananlar listesine ekledi. İddianamede, 2023’ün başlarında özel bir APT istihbarat raporunda ESET’in yayımladıklarıyla güçlü bir formda bağlı olan birkaç akın tanımlanıyor. ESET Research, Asya, Avrupa ve Amerika Birleşik Devletleri’ndeki hükümetleri, sivil toplum kuruluşlarını ve niyet kuruluşlarını amaç alan bu global kampanya hakkındaki teknik bilgileri paylaştı.

FishMonger’ın operasyonunu araştıran ESET araştırmacısı Matthieu Faou şu açıklamayı yaptı: “ESET, 2022 yılı boyunca Çin’e bağlı tehdit aktörleri tarafından yaygın olarak kullanılan ShadowPad ve SodaMaster üzere implantların kullanıldığı çeşitli tehlikeleri araştırdı. FishMedley Operasyonu için yedi bağımsız olayı kümeleyebildik. Araştırmamız sırasında, FishMonger’ın 2024 yılında berbat şöhretli bir evrak sızıntısına maruz kalan Chengdu merkezli Çinli bir yüklenici olan I-SOON tarafından işletilen bir casusluk grubu olduğunu bağımsız olarak doğrulayabildik.” 

FishMonger, 2022 yılında FishMedley Operasyonu kapsamında Tayvan ve Tayland’daki devlet kurumlarına, Macaristan ve ABD’deki Katolik hayır kurumlarına, ABD’deki bir STK’ya, Fransa’daki bir jeopolitik fikir kuruluşuna ve Türkiye’deki bilinmeyen bir kuruluşa saldırmıştır. Bu dikeyler ve ülkeler çeşitlidir lakin birden fazla Çin hükümetinin açıkça ilgisini çekmektedir. Birçok durumda, saldırganların mahallî ağ içinde tesir alanı yöneticisi kimlik bilgileri üzere ayrıcalıklı erişime sahip oldukları görülmüştür. Operatörler ShadowPad, SodaMaster ve Spyder üzere Çin’e bağlı tehdit aktörleri için yaygın ya da özel olan implantları kullanmışlardır. FishMonger tarafından FishMedley’de kullanılan öteki araçlar ortasında parolaları sızdıran özel bir parola; Dropbox ile etkileşim ve muhtemelen kurbanın ağından data sızdırmak için kullanılan bir araç; fscan ağ tarayıcısı ve bir NetBIOS tarayıcısı bulunmaktadır.

Çinli yüklenici I-SOON tarafından işletilen bir küme olan FishMonger, Winnti Group şemsiyesi altında yer alıyor ve büyük olasılıkla Çin dışında, I-SOON’un ofisinin bulunduğu Chengdu kentinde faaliyet gösteriyor. FishMonger ayrıyeten Earth Lusca, TAG-22, Aquatic Panda yahut Red Dev 10 olarak da biliniyor. ESET, Haziran 2019’da başlayan sivil protestolar sırasında Hong Kong’daki üniversiteleri ağır bir biçimde maksat alan bu küme hakkında 2020’nin başlarında bir tahlil yayımladı. Grubun ‘Watering Hole  Saldırıları’ gerçekleştirdiği biliniyor. FishMonger’ın araç seti ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT’ı içeriyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı