ABD Adalet Bakanlığı (DOJ) 05 Mart 2025 tarihinde Çinli yüklenici I-SOON çalışanları hakkında çok sayıda küresel casusluk operasyonuna karıştıkları gerekçesiyle bir iddianame açıkladı. Bunlar arasında ESET Research'ün daha önce Tehdit İstihbaratı raporlarında belgelediği ve I-SOON'un operasyonel kolu olan FishMonger grubuna atfedilen saldırılar da yer alıyor. 2022'de ESET'in FishMedley Operasyonu adını verdiği bir kampanyada hedef alındığını belirlediği yedi kuruluşun dahil olduğu bir saldırı da bulunuyor. İddianamenin yanı sıra FBI (FishMonger'dan Aquatic Panda olarak bahsediyor) adı geçenleri En Çok Arananlar listesine ekledi. İddianamede, 2023'ün başlarında özel bir APT istihbarat raporunda ESET’in yayımladıklarıyla güçlü bir şekilde ilişkili olan birkaç saldırı tanımlanıyor. ESET Research, Asya, Avrupa ve Amerika Birleşik Devletleri'ndeki hükümetleri, sivil toplum kuruluşlarını ve düşünce kuruluşlarını hedef alan bu küresel kampanya hakkındaki teknik bilgileri paylaştı.
FishMonger'ın operasyonunu araştıran ESET araştırmacısı Matthieu Faou şu açıklamayı yaptı: "ESET, 2022 yılı boyunca Çin'e bağlı tehdit aktörleri tarafından yaygın olarak kullanılan ShadowPad ve SodaMaster gibi implantların kullanıldığı çeşitli tehlikeleri araştırdı. FishMedley Operasyonu için yedi bağımsız olayı kümeleyebildik. Araştırmamız sırasında, FishMonger'ın 2024 yılında kötü şöhretli bir belge sızıntısına maruz kalan Chengdu merkezli Çinli bir yüklenici olan I-SOON tarafından işletilen bir casusluk ekibi olduğunu bağımsız olarak doğrulayabildik."
FishMonger, 2022 yılında FishMedley Operasyonu kapsamında Tayvan ve Tayland'daki devlet kurumlarına, Macaristan ve ABD'deki Katolik hayır kurumlarına, ABD'deki bir STK'ya, Fransa'daki bir jeopolitik düşünce kuruluşuna ve Türkiye'deki bilinmeyen bir kuruluşa saldırmıştır. Bu dikeyler ve ülkeler çeşitlidir ancak çoğu Çin hükümetinin açıkça ilgisini çekmektedir. Çoğu durumda, saldırganların yerel ağ içinde etki alanı yöneticisi kimlik bilgileri gibi ayrıcalıklı erişime sahip oldukları görülmüştür. Operatörler ShadowPad, SodaMaster ve Spyder gibi Çin'e bağlı tehdit aktörleri için yaygın ya da özel olan implantları kullanmışlardır. FishMonger tarafından FishMedley'de kullanılan diğer araçlar arasında parolaları sızdıran özel bir parola; Dropbox ile etkileşim ve muhtemelen kurbanın ağından veri sızdırmak için kullanılan bir araç; fscan ağ tarayıcısı ve bir NetBIOS tarayıcısı bulunmaktadır.
Çinli yüklenici I-SOON tarafından işletilen bir grup olan FishMonger, Winnti Group şemsiyesi altında yer alıyor ve büyük olasılıkla Çin dışında, I-SOON'un ofisinin bulunduğu Chengdu şehrinde faaliyet gösteriyor. FishMonger ayrıca Earth Lusca, TAG-22, Aquatic Panda veya Red Dev 10 olarak da biliniyor. ESET, Haziran 2019'da başlayan sivil protestolar sırasında Hong Kong'daki üniversiteleri yoğun bir şekilde hedef alan bu grup hakkında 2020'nin başlarında bir analiz yayımladı. Grubun ‘Watering Hole Saldırıları’ gerçekleştirdiği biliniyor. FishMonger'ın araç seti ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT'ı içeriyor.
