El Departamento de Justicia de los Estados Unidos (DOJ) ha anunciado cargos contra 12 ciudadanos chinos por su supuesta participación en un esquema de amplio alcance diseñado para robar datos y suprimir la libertad de expresión y la disidencia a nivel mundial.
Las personas incluyen dos funcionarios de la República Popular de China (PRC) del Ministerio de Seguridad Pública (MPS), ocho empleados de una compañía de RPC aparentemente privada, Anxun Information Technology Co. Ltd. (安洵信息技术有限公司 安洵信息技术有限公司 安洵信息技术有限公司 安洵信息技术有限公司 安洵信息技术有限公司 安洵信息技术有限公司) también conocido como I -soon, y miembros de Avanzed Persistent Amena 27 (Apt27, Aka Budworm, Unión de Bronze, Panda Emissary, Panda, Lucky Mouse, y Iron Tiger) – -Tiger Iron Tiger))
- Wu Haibo, director ejecutivo
- Chen Cheng (陈诚 陈诚), director de operaciones
- Wang Zhe, director de ventas
- Liang Guodong, personal técnico
- Ma Li, personal técnico
- Wang Yan (王堰 王堰), personal técnico
- Xu Liang (徐梁), personal técnico
- Zhou Weiwei (周伟伟), personal técnico
- Wang Liyu, oficial de parlamentarios
- Sheng Jing (盛晶), oficial de parlamentarios
- Yin Kecheng, actor apt27, también conocido como «YKC»
- Zhou Shuai, actor apt27, también conocido como «Coldface»
«Estos actores cibernéticos maliciosos, que actúan como trabajadores independientes o como empleados de I-Soon, realizaron intrusiones informáticas en la dirección de los parlamentarios y el Ministerio de Seguridad del Estado (MSS) de la RPC y por su propia iniciativa», dijo el DOJ. «Los MPS y MSS pagaron generosamente los datos robados».
Los documentos judiciales revelan que los parlamentarios y MSS emplearon una red de empresas privadas y contratistas en China para infiltrarse indiscriminadamente en empresas y robar datos, al tiempo que oscureció la participación del gobierno.
Los ocho empleados de I-Soon, junto con dos oficiales de MPS, han sido acusados de irrumpir en cuentas de correo electrónico, teléfonos celulares, servidores y sitios web de al menos en 2016 o alrededor de 2023 o alrededor de 2023.
La Oficina Federal de Investigación de los Estados Unidos (FBI), en una presentación judicial, dijo que las actividades asociadas con I-soon son rastreadas por la comunidad de seguridad cibernética bajo el panda acuática de los monikers, el tifón de carbón, Earth Lusca y Redhotel, mientras que APT27 se superpone con el de Typhoon de Silk Typhoon, UNC5221 y UTA0178.
La agencia señaló además que el gobierno chino está utilizando conexiones formales e informales con piratas informáticos y compañías de seguridad de la información para comprometer las redes informáticas de todo el mundo.
Por separado, el programa de recompensas del Departamento de Estado de la Justicia (RFJ) de los Estados Unidos ha anunciado una recompensa de hasta $ 10 millones por información que conduzca a la identificación o ubicación de cualquier persona que participe en actividades cibernéticas maliciosas contra la infraestructura crítica de los Estados Unidos mientras actúa bajo la dirección de un gobierno extranjero.
El Departamento de Justicia señaló además que I-Soon y sus empleados generaron decenas de millones de dólares en ingresos, lo que convierte a la compañía en un jugador clave en el ecosistema de piratas informáticos de la RPC. Se estima que cobró entre $ 10,000 y $ 75,000 por cada bandeja de entrada de correo electrónico que explotó correctamente.
«En algunos casos, I-Soon realizó intrusiones informáticas a pedido del MSS o MPS, incluida la represión transnacional habilitada con ciberdistado en la dirección de los acusados de los oficiales de los parlamentarios», dijo el departamento.
«En otros casos, I-Soon realizó intrusiones informáticas por su propia iniciativa y luego se vendió, o intentó vender, los datos robados a al menos 43 oficinas diferentes del MSS o MP en al menos 31 provincias y municipios separados en China».
Los objetivos de los ataques de I-Soon incluyeron una gran organización religiosa en los Estados Unidos, críticos y disidentes del gobierno de la RPC, un organismo legislativo estatal, agencias gubernamentales de los Estados Unidos, los Ministerios de Asuntos Exteriores de múltiples gobiernos en Asia y organizaciones de noticias.
Se ha anunciado una recompensa monetaria adicional de hasta $ 2 millones cada una para obtener información para los arrestos y/o condenas de Shuai y Kecheng, quienes están acusados de participar en una conspiración de piratería informática sofisticada y sofisticada de años para violar las empresas víctimas de los Estados Unidos, los municipios y las organizaciones con ganancias a partir de 2011, y robar datos después de establecer el acceso persistente a través del malware del malware Comglex.
Se ha alegado que Shuai operaba como un corredor de datos, vendiendo la información saqueada a varios clientes, algunos de los cuales tenían conexiones con el gobierno y el ejército de la RPC, con una ganancia financiera.
Al concurrente a los cargos, el Departamento de Justicia también ha anunciado la incautación de cuatro dominios vinculados a I -soon y los actores APT27 –
- ecoatmosfera.org
- Newyorker.cloud
- heidrickjobs.com, y
- Maddmail.Site
«Las víctimas de I-Soon eran de interés para el gobierno de la RPC porque, entre otras razones, eran destacadas críticas en el extranjero del gobierno de la RPC o porque el gobierno de la RPC los consideraba amenazantes con el gobierno del Partido Comunista Chino», dijo el Departamento de Justicia.
También se dice que la compañía tiene empleados capacitados de parlamentarios cómo hackear independientemente de I-soon y proporcionó a la venta varios métodos de piratería que describió como una «tecnología ofensiva y defensiva líder en la industria» y un «arsenal de vulnerabilidad de día cero».
Anunciado entre las herramientas había un software llamado «Plataforma de prueba de penetración automatizada» que es capaz de enviar correos electrónicos de phishing, creando archivos con malware que proporcionan acceso remoto a las computadoras de las víctimas al abrir y clonar sitios web de víctimas en un intento de engañarlos para que proporcionen información confidencial.
Otra de las ofertas de I-Soon es una utilidad de cracking de contraseña conocida como la «plataforma de agrietamiento de contraseñas Divine Mathematician» y un programa diseñado para piratear varios servicios en línea como Microsoft Outlook, Gmail y X (anteriormente Twitter), entre otros.
«Con respecto a Twitter, I-Soon vendió software con la capacidad de enviar a una víctima un enlace de phishing de lanza y luego obtener acceso y control sobre la cuenta de Twitter de la víctima», explicó el Departamento de Justicia.
«El software tenía la capacidad de acceder a Twitter incluso sin la contraseña de la víctima y de evitar la autenticación multifactor. Después de que el Twitter de una víctima se vio comprometido, el software podía enviar tweets, eliminar tweets, reenviar tweets, hacer comentarios y hacer tweets».
El propósito de la herramienta, denominado «plataforma de orientación y control de opinión pública (en el extranjero)», era permitir que los clientes de la compañía aprovechen la red de cuentas X pirateadas para comprender la opinión pública fuera de China.
«Los cargos anunciados hoy exponen los continuos intentos de la RPC de espiar y silenciar a cualquiera que considere amenazando con el Partido Comunista Chino», dijo la directora asistente interina de Leslie R. Backschies en un comunicado.
«El gobierno chino trató de ocultar sus esfuerzos trabajando a través de una empresa privada, pero sus acciones equivalen a años de piratería patrocinada por el estado de organizaciones religiosas y de medios, numerosas agencias gubernamentales en múltiples países y disidentes en todo el mundo que se atrevieron a criticar el régimen».