# Operation Fish Medley 2022 > [!warning] Campanha de Espionagem Global - I-SOON / Aquatic Panda > **Operation Fish Medley 2022** foi uma campanha de espionagem cibernética conduzida pelo grupo [[g0143-aquatic-panda]] (FishMonger), operado pela empresa chinesa I-SOON (Anxun Information Technology), comprometendo pelo menos **7 organizações** em diferentes países entre janeiro e outubro de 2022. A campanha ganhou nova relevância em 2024 quando o vazamento de documentos da I-SOON expôs o modelo de negócios de hackers mercenários patrocinados pelo estado chinês. ## Visão Geral A Operation Fish Medley 2022 foi identificada e documentada pela ESET em fevereiro de 2024, meses após o controverso vazamento de dados da I-SOON (Anxun Information Technology) no GitHub em fevereiro de 2024. Esse vazamento expôs contratos, comúnicações internas e relatórios operacionais, confirmando que o [[g0143-aquatic-panda]] era operado pela I-SOON como um braço de hackers mercenários a serviço do governo chinês - específicamente do Ministério de Segurança do Estado (MSS) e do Ministério de Segurança Pública (MPS). O [[g0143-aquatic-panda]], também rastreado como FishMonger pelo contexto da ESET, é um grupo de espionagem com histórico documentado desde pelo menos 2019. A Fish Medley 2022 comprometeu 7 organizações em diferentes setores e países simultaneamente: uma organização governamental na Tailândia, uma organização governamental em Taiwan, uma ONG internacional, uma firma de pesquisa em tecnologia, uma organização do setor de telecomúnicações na Índia, uma empresa de tecnologia nos EUA, e uma outra entidade governamental. O grupo utilizou o [[s0596-shadowpad]] como backdoor principal - uma plataforma maliciosa modular amplamente compartilhada entre grupos APT chineses patrocinados por estado, distribuída pelo grupo BARIUM como plataforma-as-a-service para operações de espionagem. A distribuição do ShadowPad entre grupos chineses o tornou um indicador de comprometimento de alta fidelidade para operações patrocinadas pelo estado chinês. O uso de [[cve-2021-44228|CVE-2021-44228]] (Log4Shell) como vetor de acesso inicial em algumas das 7 organizações demonstrou a capacidade do grupo de adaptar rapidamente suas táticas para explorar vulnerabilidades de alto impacto imediatamente após sua divulgação pública. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Exploit de Log4Shell<br/>ou credenciais comprometidas"] --> B["Execução<br/>PowerShell e scripts<br/>para download de payloads"] B --> C["ShadowPad Implantado<br/>Backdoor modular via<br/>DLL side-loading"] C --> D["Reconhecimento Interno<br/>Dump de credenciais<br/>e enumeração de rede"] D --> E["Persistência<br/>Contas válidas e<br/>tarefas agendadas"] E --> F["Coleta de Dados<br/>7 organizações<br/>em setores estratégicos"] F --> G["Exfiltração<br/>Canal C2 criptografado<br/>infraestrutura I-SOON"] ``` > **Ator:** [[g0143-aquatic-panda]] (I-SOON/FishMonger) | **Alvos:** 7 organizações | **Período:** jan-out 2022 ## Linha do Tempo ```mermaid timeline title Operation Fish Medley 2022 - Linha do Tempo 2022-01 : Início das intrusões nas 7 organizações-alvo 2022-03 : Log4Shell explorado como vetor de acesso em alvos vulneráveis 2022-10 : Última atividade documentada da campanha 2024-02 : Vazamento massivo de dados da I-SOON no GitHub 2024-02 : ESET analisa Fish Medley 2022 com base nos dados vazados da I-SOON 2024-03 : DOJ dos EUA acusa membros da I-SOON ligados às campanhas ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit de Aplicações Públicas | [[t1190-exploit-public-facing-application\|T1190]] | Log4Shell (CVE-2021-44228) explorado em servidores vulneráveis | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts para download e execução de payloads de segundo estágio | | Dump de Credenciais | [[t1003-os-credential-dumping\|T1003]] | Extração de credenciais para movimento lateral | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para acesso persistente | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 do ShadowPad | | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | ShadowPad carregado via DLL side-loading em processos legítimos | ## Sobre o I-SOON e o Modelo Mercenário O vazamento de 2024 da I-SOON revelou detalhes sem precedentes sobre o ecossistema de hackers mercenários da China: - **Modelo contratual**: I-SOON vendia acesso a redes comprometidas e inteligência coletada para agências do MSS e MPS - **Precificação de dados**: Os documentos mostravam tabelas de preços para dados de diferentes países (Taiwan custava mais que alvos de baixo interesse estratégico) - **Pressão corporativa**: Comúnicações internas revelavam pressão por resultados e disputas salariais - um ambiente de startup, não de agência estatal - **Multiple groups**: I-SOON operava múltiplas equipes de hackers, cada uma com foco geográfico ou setorial diferente ## Vítimas e Impacto **7 organizações confirmadas pela ESET (2022):** 1. Organização governamental - Tailândia 2. Organização governamental - Taiwan 3. ONG internacional (setor de direitos humanos) 4. Firma de pesquisa em tecnologia 5. Operadora de telecomúnicações - Índia 6. Empresa de tecnologia - EUA 7. Entidade governamental (país não divulgado) **Impacto do vazamento I-SOON:** - Exposição de operações de espionagem em mais de 20 países - Identificação de pelo menos 80 agências governamentais estrangeiras como alvos históricos - Dados pessoais de funcionários da I-SOON e de suas vítimas expostos públicamente ## Relevância LATAM e Brasil A Operation Fish Medley 2022 e especialmente o vazamento I-SOON de 2024 têm relevância direta para o Brasil: - **Modelo mercenário chinês**: Os documentos vazados mostravam que organizações brasileiras não estão explicitamente mencionadas como alvos de alta prioridade, mas o modelo I-SOON demonstra que qualquer alvo com valor estratégico para o governo chinês pode ser contratado como missão - **Setores de interesse**: Mineração, energia, [[telecommunications|telecomúnicações]] e [[government|governo]] brasileiros são áreas de investimento e interesse estratégico chinês - exatamente os setores alvo do [[g0143-aquatic-panda]] - **Log4Shell**: A exploração rápida do [[cve-2021-44228|CVE-2021-44228]] demonstra que grupos chineses monitoram e exploram vulnerabilidades de alto impacto em dias. Organizações brasileiras com superfície de exposição web devem manter processo de gestão de vulnerabilidades ágil - **ShadowPad como indicador**: A presença do [[s0596-shadowpad]] em qualquer rede é indicador de comprometimento altamente confiável de operação patrocinada por estado chinês ## Detecção e Defesa **Controles recomendados:** - Patch imediato de vulnerabilidades CVSS 9.0+ em aplicações expostas - [[cve-2021-44228|Log4Shell]] foi explorado em dias - Implementar [[m1051-update-software|M1051]] com processo de patch emergêncial para vulnerabilidades críticas - Detectar DLL side-loading via monitoramento de processos carregando DLLs de paths não padrão - Implementar [[m1032-multi-factor-authentication|M1032]] para prevenir uso de credenciais comprometidas - Monitorar [[ds-0029-network-traffic|DS-0029]] para padrões de beaconing do ShadowPad **Indicadores comportamentais:** - Processos legítimos (Adobe, Zoom, software corporativo) carregando DLLs de diretórios não padrão - Comúnicação C2 periódica com codificação customizada - Acesso a processos LSASS ou hive SAM do registro por processos não autorizados - Execução de PowerShell com parâmetros de codificação Base64 ## Referências - [1](https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-reveals-espionage-campaign-by-aquatic-panda/) ESET - Operation Fish Medley: FishMonger Campaign Analysis (2024) - [2](https://attack.mitre.org/groups/G0114/) MITRE ATT&CK - Aquatic Panda Group Profile - [3](https://github.com/I-S00N/I-S00N) GitHub - I-SOON Data Leak Archive (2024) - [4](https://www.sentinelone.com/blog/the-isoon-files-revelations-from-a-chinese-hacking-contractor/) SentinelOne - The I-SOON Files: Revelations (2024) - [5](https://www.wired.com/story/i-soon-china-hack-leak/) WIRED - Inside the Leak That Exposed China's Hacking-for-Hire Empire (2024)