Aktuelles
ESET Research confirme le lien entre I-SOON et le groupe FishMonger, qui a ciblé un groupe de réflexion géopolitique en France
mars 2025 par ESET
Le Département américain de la Justice a rendu public un acte d’accusation contre des employés du sous-traitant chinois I-SOON pour leur implication dans plusieurs opérations d’espionnage mondial. Ces attaques, documentées par ESET Research dans ses rapports de renseignement sur les menaces (Cyber Threat Intelligence), ont été attribuées au groupe FishMonger, la branche opérationnelle d’I-SOON. Parmi elles figure une campagne de 2022 ciblant sept organisations, nommée Opération FishMedley. Le FBI (qui désigne FishMonger sous le nom d’Aquatic Panda) a ajouté les personnes inculpées à sa liste des personnes les plus recherchées. L’acte d’accusation décrit plusieurs attaques fortement liées à ce qu’ESET avait publié dans un rapport confidentiel début 2023. Aujourd’hui, ESET Research partage ses connaissances techniques sur cette campagne mondiale qui a ciblé des gouvernements, des ONG et des groupes de réflexion en Asie, Europe et États-Unis.
« En 2022, ESET a enquêté sur plusieurs compromissions utilisant des implants comme ShadowPad et SodaMaster, couramment employés par des acteurs malveillants liés à la Chine. Nous avons pu regrouper sept incidents indépendants sous l’Opération FishMedley » explique Matthieu Faou, chercheur chez ESET. « Durant nos recherches, nous avons pu confirmer indépendamment que FishMonger est une équipe d’espionnage opérée par I-SOON, un sous-traitant chinois basé à Chengdu qui a subi une fuite de documents en 2024. » ajoute Matthieu Faou.
Durant l’Opération FishMedley en 2022, FishMonger a attaqué des organisations gouvernementales à Taïwan et en Thaïlande, des œuvres caritatives catholiques en Hongrie et aux États-Unis, une ONG américaine, un groupe de réflexion géopolitique en France et une organisation non identifiée en Turquie. Ces cibles diverses présentent pour la plupart un intérêt évident pour le gouvernement chinois.
Dans la majorité des cas, les attaquants semblaient disposer d’accès privilégiés au réseau local, comme des identifiants d’administrateur de domaine. Ils ont utilisé des implants tels que ShadowPad, SodaMaster et Spyder, courants ou exclusifs aux acteurs malveillants liés à la Chine. Parmi les autres outils employés par FishMonger figurent un outil personnalisé d’exfiltration de mots de passe, un outil d’interaction avec Dropbox probablement utilisé pour extraire des données du réseau victime, le scanner réseau fscan et un scanner NetBIOS.
FishMonger, opéré par le sous-traitant chinois I-SOON, fait partie du groupe Winnti et fonctionne probablement depuis Chengdu, où I-SOON semble toujours basé. Il est également connu sous les noms d’Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10. ESET a publié une analyse de ce groupe début 2020, lorsqu’il ciblait intensivement des universités de Hong Kong pendant les manifestations civiques débutées en juin 2019. Le groupe est connu pour ses attaques par point d’eau. Son arsenal comprend ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS et le RAT BIOPASS.
Noms des membres de FishMonger / I-SOON (source : FBI)
