Le ministère américain de la Justice (DOJ) a annoncé des accusations contre 12 ressortissants chinois pour leur participation présumée à un vaste programme conçu pour voler des données et supprimer la liberté d’expression et la dissidence à l’échelle mondiale.
Le individus Inclure deux officiers de la République populaire de Chine (PRC) Ministère de la sécurité publique (MPS), huit employés d’une société de RPC ostensiblement privée, ANXUN Information Technology Co. Ltd. (安洵信息技术有限公司) également connu sous le nom de I-Soon, et membres de la menace persistante avancée 27 (APT27, AKA BUDWORM, BRONZE UNION, PANDA EMISSARY, LUCKET SOURIE et ION TIGER) –
- Wu Haibo (吴海波), directeur général
- Chen Cheng (陈诚), chef de l’exploitation
- Wang Zhe (王哲), directeur des ventes
- Liang Guodong (梁国栋), personnel technique
- Ma li (马丽), personnel technique
- Wang Yan (王堰), personnel technique
- Xu Liang (徐梁), personnel technique
- Zhou Weiwei (周伟伟), personnel technique
- Wang Liyu (王立宇), officier député
- Sheng Jing (盛晶), officier député
- Yin Kecheng (尹可成), acteur APT27 aka “YKC”
- Zhou Shuai (周帅), acteur APT27 aka “Coldface”
“Ces cyber-acteurs malveillants, agissant en tant que pigistes ou en tant qu’employés de l’I-Soon, ont mené des intrusions informatiques en direction des députés de la RPC et du ministère d’État (MSS) et sur leur propre initiative”, le DOJ dit. “Les députés et MSS ont payé généreusement les données volées.”
Les documents judiciaires révèlent que les députés et le MSS ont utilisé un réseau d’entreprises privées et d’entrepreneurs en Chine pour infiltrer sans discrimination les entreprises et voler des données, tout en obscurcissant l’implication du gouvernement.
Les huit employés de l’I-Soon, aux côtés de deux officiers MPS, ont été accusé de pénétrer dans les comptes de messagerie, les téléphones portables, les serveurs et les sites Web d’au moins dans ou vers 2016 jusqu’en 2023 ou vers 2023.
Le Federal Bureau of Investigation (FBI) américain, dans un dossier judiciaire, a déclaré que les activités associées à I-Soon sont suivies par la communauté de la cybersécurité sous le panda aquatique des surnoms (aka Redhotel), tandis que l’APT27 chevauche celle de Silk Typhoon, UNC5221 et UTA0178.
L’agence plus loin indiqué que le gouvernement chinois utilise des connexions formelles et informelles avec des pirates indépendants et des sociétés de sécurité de l’information pour compromettre les réseaux informatiques dans le monde.
Par ailleurs, le programme des récompenses pour la justice (RFJ) du Département américain américain a annoncé Une récompense pouvant atteindre 10 millions de dollars pour des informations conduisant à l’identification ou à la localisation de toute personne qui s’engage dans des cyber-activités malveillantes contre les infrastructures critiques américaines tout en agissant sous la direction d’un gouvernement étranger.
Le DOJ a en outre noté que I-Soon et ses employés avaient généré des dizaines de millions de dollars de revenus, faisant de l’entreprise un acteur clé de l’écosystème de pirate de location en matière de RPC. On estime qu’il a facturé entre 10 000 $ et 75 000 $ pour chaque boîte de réception par e-mail qu’il a exploité avec succès.
“Dans certains cas, I-Soon a mené des intrusions informatiques à la demande du MSS ou des MPS, y compris la répression transnationale cyber-compatible dans la direction des défendeurs des officiers du MPS”, a indiqué le ministère.
“Dans d’autres cas, I-Soon a effectué des intrusions informatiques sur sa propre initiative, puis a vendu, ou a tenté de vendre, les données volées à au moins 43 bureaux différents de MSS ou députés dans au moins 31 provinces et municipalités distinctes en Chine.”
Les cibles des attaques d’I-Soon comprenaient une grande organisation religieuse aux États-Unis, les critiques et les dissidents du gouvernement de la RPC, un organe législatif de l’État, les agences gouvernementales des États-Unis, les ministères des affaires étrangères de plusieurs gouvernements en Asie et des organisations de presse.
Une récompense monétaire supplémentaire pouvant atteindre 2 millions de dollars chacune a été annoncé Pour plus d’informations menant aux arrestations et / ou aux condamnations de Shuai et Kecheng, qui sont accusés d’avoir participé à des complots de piratage informatique sophistiqué et de plusieurs années pour violer les entreprises de victimes américaines, les municipalités et les organisations pour le profit de 2011, et voler des données après avoir établi un accès persistant via le malware Plugx.
Parallèlement aux accusations, le DOJ a également annoncé la saisie de quatre domaines liés à I-Soon et aux acteurs APT27.
- ecoatmosphère.org
- newyorker.cloud
- heidrickjobs.com, et
- Maddmail.Site
“Les victimes d’I-Soon intéressaient le gouvernement de la RPC car, entre autres raisons, ils étaient des critiques à l’étranger du gouvernement de la RPC ou parce que le gouvernement de la RPC les considérait comme menaçant la règle du Parti communiste chinois”, le DOJ dit.
La société aurait également formé des employés de députés comment pirater indépendamment de I-Soon et a fourni à vendre diverses méthodes de piratage qu’elle a décrites comme une “technologie offensive et défensive de pointe” et un “arsenal de vulnérabilité zéro-jour”.
Parmi les outils, un logiciel appelé “Plateforme de test de pénétration automatisée” était capable d’envoyer des e-mails de phishing, de créer des fichiers avec des logiciels malveillants qui fournissent un accès à distance aux ordinateurs des victimes lors de l’ouverture et de cloner des sites Web de victimes dans le but de les inciter à fournir des informations sensibles.
Une autre offrande d’I-Soon est un utilitaire de craquage de mot de passe connu sous le nom de “plate-forme de crackage de mot de passe mathématicien divine” et un programme conçu pour pirater divers services en ligne comme Microsoft Outlook, Gmail et X (anciennement Twitter), entre autres.
“En ce qui concerne Twitter, I-Soon a vendu des logiciels avec la capacité d’envoyer à une victime un lien de phishing de lance, puis d’obtenir un accès et de contrôler le compte Twitter de la victime”, a expliqué le DOJ.
“Le logiciel avait la possibilité d’accéder à Twitter même sans le mot de passe de la victime et de contourner l’authentification multi-facteurs. Après que Twitter d’une victime a été compromis, le logiciel pourrait envoyer des tweets, supprimer des tweets, faire avancer les tweets, faire des commentaires et comme les tweets.”
L’objectif de l’outil, appelé «plateforme d’orientation et de contrôle d’opinion publique (à l’étranger)», était de laisser les clients de la société tirer parti du réseau de comptes X piratés pour comprendre l’opinion publique en dehors de la Chine.
“Les accusations annoncées aujourd’hui exposent les tentatives continues de la RPC pour espionner et faire taire toute personne qu’il juge menaçant le Parti communiste chinois”, a déclaré le directeur adjoint par intérim Leslie R. Backschies dans un communiqué.
“Le gouvernement chinois a tenté de cacher ses efforts en travaillant par le biais d’une entreprise privée, mais leurs actions représentent des années de piratage parrainé par l’État d’organisations religieuses et de médias, de nombreuses agences gouvernementales dans plusieurs pays et des dissidents du monde entier qui ont osé critiquer le régime.”

