Des étudiants universitaires chinois ont été attirés pour travailler dans une entreprise de technologie secrète qui masquait la véritable nature de leur travail : rechercher des cibles occidentales pour espionner et traduire des documents piratés dans le cadre du régime de renseignement à l’échelle industrielle de Pékin.
Le Financial Times a identifié et contacté 140 traducteurs potentiels, pour la plupart des diplômés récents qui ont étudié l’anglais dans des universités publiques à Hainan, Sichuan et Xi’an. Ils avaient répondu à des offres d’emploi chez Hainan Xiandun, une entreprise située dans l’île tropicale du sud de Hainan.
Le processus de candidature comprenait des tests de traduction sur des documents sensibles obtenus auprès d’agences gouvernementales américaines et des instructions pour rechercher des individus à l’Université Johns Hopkins, une cible clé du renseignement.
Hainan Xiandun est accusé par un acte d’accusation fédéral américain de 2021 d’avoir servi de couverture au groupe de piratage chinois APT40. Les agences de renseignement occidentales ont accusé APT40 d’avoir infiltré des agences gouvernementales, des entreprises et des universités aux États-Unis, au Canada, en Europe et au Moyen-Orient, sous les ordres du ministère chinois de la Sécurité d’État.
Le FBI a cherché à perturber les activités de Hainan Xiandun en juillet dernier en inculpant trois responsables de la sécurité de l’État dans la province de Hainan – Ding Xiaoyang, Cheng Qingmin et Zhu Yunmin – pour leur rôle présumé dans l’établissement de l’entreprise en tant que façade pour l’espionnage soutenu par l’État. Un autre homme mentionné dans l’acte d’accusation, Wu Shurong, serait un pirate informatique qui a aidé à superviser les employés de Hainan Xiandun.
Les services de renseignement occidentaux recherchent également des espions potentiels dans les universités, les candidats subissant une vérification et une formation rigoureuses avant de rejoindre des organisations comme la CIA aux États-Unis ou l’agence de renseignement électromagnétique GCHQ au Royaume-Uni.
Mais les diplômés chinois ciblés par Hainan Xiandun semblent avoir été involontairement entraînés dans une vie d’espionnage. Des offres d’emploi de l’entreprise ont été publiées sur les sites Web des universités pour les traducteurs sans autre explication sur la nature du travail.
Cela pourrait avoir des conséquences à vie, car les personnes identifiées comme ayant coopéré avec le MSS dans le cadre de leur travail pour Hainan Xiandun sont susceptibles d’avoir des difficultés à vivre et à travailler dans les pays occidentaux, une motivation clé pour de nombreux étudiants qui étudient les langues étrangères.
Le FT a contacté les 140 personnes figurant sur une liste divulguée de candidats compilée par des responsables de la sécurité de la région pour corroborer l’authenticité des candidatures. Plusieurs des personnes contactées ont initialement confirmé leur identité, mais ont mis fin aux appels téléphoniques après avoir été interrogées sur leurs liens avec Hainan Xiandun. Quelques-uns ont parlé de leur expérience du processus d’embauche.
Leurs applications donnent un aperçu des tactiques d’APT40, connu pour cibler les institutions de recherche biomédicale, robotique et maritime dans le cadre d’efforts plus larges pour acquérir des connaissances sur la stratégie industrielle occidentale et voler des données sensibles.
Le piratage à cette échelle nécessite une énorme main-d’œuvre d’anglophones qui peuvent aider à identifier les cibles de piratage, des cybertechniciens qui peuvent accéder aux systèmes des adversaires et des agents du renseignement pour analyser le matériel volé.
Zhang, un diplômé en anglais qui a postulé à Hainan Xiandun, a déclaré au FT qu’un recruteur lui avait demandé d’aller au-delà des tâches de traduction conventionnelles en faisant des recherches sur le laboratoire de physique appliquée de Johns Hopkins, avec des instructions pour trouver des informations sur l’institution, y compris les CV de les administrateurs de son conseil d’administration, l’architecture du bâtiment et les détails des contrats de recherche qu’il avait conclus avec des clients.
L’APL, un grand bénéficiaire des fonds de recherche du département américain de la Défense, est susceptible d’être d’un intérêt significatif pour Pékin et les individus qui y travaillent sont des cibles de piratage.
Le document d’instructions demandait aux candidats à l’emploi de télécharger « un logiciel pour passer derrière le grand pare-feu ». Il avertit que la recherche impliquera la consultation de sites Web tels que Facebook, qui est interdit en Chine et nécessite donc un VPN, un logiciel qui masque l’emplacement de l’utilisateur afin d’y accéder.
« Il était très clair qu’il ne s’agissait pas d’une entreprise de traduction », a déclaré Zhang, qui a décidé de ne pas poursuivre sa candidature.
Dakota Cary, experte en cyberespionnage chinois et ancienne analyste de la sécurité à l’Université de Georgetown, a déclaré que les étudiants traducteurs étaient susceptibles d’aider à rechercher des organisations ou des individus qui pourraient s’avérer être des sources fructueuses d’informations sensibles.
« Le fait que vous deviez utiliser un VPN, que vous deviez faire vos propres recherches et que vous ayez besoin de bonnes compétences linguistiques, tout me dit que ces étudiants identifieront des cibles de piratage », a-t-il déclaré.
Cary, qui a témoigné plus tôt cette année devant la commission d’examen économique et de sécurité américano-chinoise sur les cybercapacités de Pékin, a déclaré que l’instruction d’enquêter sur Johns Hopkins était un indicateur du niveau d’initiative et de la capacité à acquérir des connaissances spécialisées que les traducteurs devaient démontrer. .
Un responsable de la sécurité dans la région a déclaré que les révélations étaient la preuve que le MSS utilisait des étudiants universitaires comme « canal de recrutement » pour ses activités d’espionnage.
Antony Blinken, secrétaire d’État américain, a précédemment condamné le MSS pour avoir créé un « écosystème de pirates informatiques criminels » qui se livrent à la fois à des activités parrainées par l’État et à la cybercriminalité à motivation financière. Blinken a ajouté que ces pirates coûtaient aux gouvernements et aux entreprises « des milliards de dollars » en propriété intellectuelle volée, en paiements de rançon et en cyberdéfense.
Hainan Xiandun a demandé aux candidats de traduire un document de l’Office of Infrastructure Research and Development des États-Unis contenant des explications techniques sur la prévention de la corrosion sur les réseaux et les infrastructures de transport. Cela semblait tester les capacités des employés potentiels à interpréter des concepts et une terminologie scientifiques complexes.
« C’était un processus très étrange », a déclaré Cindy, une étudiante en anglais d’une université chinoise respectée. « J’ai postulé en ligne, puis la personne RH m’a envoyé un test de traduction très technique. » Elle a décidé de ne pas poursuivre la demande.
Adam Kozy, un ancien responsable du FBI qui travaillait plus récemment pour la société de cybersécurité CrowdStrike, a déclaré qu’il n’avait pas entendu parler des services de renseignement occidentaux enrôlant des étudiants universitaires sans qu’ils aient reçu une autorisation de sécurité pour collecter des renseignements.
« Les MSS font tout de manière très informelle et ils aiment les zones grises », a-t-il déclaré. « Il est intéressant de voir qu’ils comptent sur une jeune main-d’œuvre étudiante pour faire une grande partie du sale boulot qui peut avoir ces conséquences plus tard dans la vie et n’explique probablement pas entièrement ces risques potentiels. »
Le MSS n’a pas répondu aux demandes de commentaires.
Hainan Xiandun a sollicité des candidatures sur les sites de recrutement universitaire et semble avoir une relation étroite avec l’Université de Hainan. La société était enregistrée au premier étage de la bibliothèque universitaire, qui abrite la salle informatique des étudiants.
Une offre d’emploi publiée sur le site Web du département des langues étrangères de l’université appelait à candidatures d’étudiantes anglophones et de membres du parti communiste. L’annonce a été supprimée depuis les requêtes du FT concernant cette histoire.
Plusieurs étudiants candidats à Hainan Xiandun avaient remporté des prix scolaires pour leurs compétences linguistiques et d’autres avaient la distinction supplémentaire d’être membres du parti.
Selon l’acte d’accusation du FBI, les agents du MSS « se sont coordonnés avec le personnel et les professeurs des universités de Hainan et d’ailleurs en Chine » pour faire avancer leurs objectifs de renseignement. Le personnel d’une université basée à Hainan a également aidé à soutenir et à gérer Hainan Xiandun en tant que société écran, « y compris par le biais de la paie, des avantages sociaux et d’une adresse postale », indique l’acte d’accusation.
Alors que le FBI a accusé l’université d’aider le MSS à identifier et à recruter des pirates informatiques et des linguistes pour « pénétrer et voler » les réseaux informatiques, il ne mentionne pas le rôle de l’université dans la réquisition d’étudiants pour aider la cause.
En réponse aux conclusions du FT, Michael Misumi, directeur de l’information chez Johns Hopkins APL, a déclaré que « comme de nombreuses organisations techniques », l’APL « doit répondre à de nombreuses cybermenaces et prend les mesures appropriées pour se défendre en permanence ainsi que ses systèmes ».
L’Université de Hainan n’a pas répondu aux demandes de commentaires.
Les noms des candidats ont été modifiés pour protéger leur identité