惊！鱼贩子APT组织与I-SOON关联，卷入全球间谍活动

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在网络安全领域，又一起令人震惊的事件浮出水面。一个名为“鱼贩子”（FishMonger）的中国网络间谍组织，被发现与科技承包商I-SOON存在直接关联。近期，美国司法部（DOJ）已对I-SOON提起诉讼，指控其参与全球网络攻击。这一消息如一颗重磅炸弹，在网络安全圈掀起了轩然大波。

“鱼贩子”的间谍往事

“鱼贩子”组织，也被称作Earth Lusca、TAG-22、Aquatic Panda或者Red Dev 10，其网络间谍活动的历史至少可追溯到2019年。该组织隶属于Winnti集团，主要在中国成都开展活动。ESET的最新调查发现，“鱼贩子”是“鱼杂烩行动”（Operation FishMedley）的幕后黑手。在2022年的这场网络攻击行动中，全球有七家组织机构不幸中招。

这些被攻击的目标涵盖了多个重要领域和地区：台湾与泰国的政府机构，成为其窥探政府决策和情报的目标；美国和亚洲的非政府组织（NGOs）及慈善机构，因其广泛的社会联系和资源信息，也被“鱼贩子”盯上；匈牙利的一家天主教组织，以及法国的一个地缘政治智囊团，同样未能幸免。为了实现其窃取情报、监视和渗透网络的目的，“鱼贩子”部署了多种先进且复杂的恶意软件植入程序，如ShadowPad、Spyder和SodaMaster等。这些工具在以往与中国相关的威胁行为者的攻击中也较为常见，成为了他们实施网络犯罪的“得力助手”。

攻击手段大揭秘

ESET对“鱼贩子”活动的深入调查，揭示了其一系列极具隐蔽性和破坏性的攻击手段。在网络渗透过程中，“鱼贩子”可能通过窃取域管理员凭证，获取了目标网络的特权访问权限。这就如同在敌方阵营中拿到了一把万能钥匙，能够自由出入各个关键区域。他们利用被攻陷的管理控制台部署恶意植入程序，并借助Impacket工具进行横向移动，就像潜伏在网络中的“幽灵”，在各个系统之间悄然穿梭，扩大其攻击范围。通过对LSASS进程进行转储，“鱼贩子”得以执行侦察命令并窃取凭证信息。例如，在美国的一家非政府组织，攻击者使用Impacket工具提升权限，肆意执行系统命令，还成功提取了包含认证数据的敏感注册表配置单元，将该组织的网络安全防线彻底撕开了一道大口子。

I-SOON：FBI的“眼中钉”

2025年3月5日，美国司法部公布了对I-SOON员工以及中国公安部官员的起诉书，指控他们在2016年至2023年间从事网络间谍活动。这一消息一经公布，迅速引起了国际社会的广泛关注。FBI更是将与I-SOON相关的多名人员列入了“最通缉名单”。此前，独立研究就已经指出I-SOON与“鱼贩子”的活动存在紧密联系，此次美国司法部的行动，进一步证实了这一关联。I-SOON在“鱼贩子”的间谍行动中，究竟扮演着怎样的角色？是提供技术支持、资金援助，还是直接参与策划？随着调查的深入，或许会有更多惊人的内幕被揭开。

在当前复杂的国际形势下，网络安全已成为各国关注的焦点。“鱼贩子”与I-SOON的关联事件，为我们敲响了警钟。无论是政府机构、非政府组织，还是各类企业，都应当高度重视网络安全防护，加强对网络攻击的监测与预警，提升自身的安全防御能力。同时，国际社会也应加强合作，共同打击网络犯罪，维护全球网络空间的和平与稳定。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。