reUna masiva filtración de documentos de una empresa de de seguridad privada china, vinculada a la principal agencia de policía y ministerios de la República Popular China, revelan una serie de actividades encubiertas de piratería y espionaje contra ciudadanos chinos como extranjeros.
Se trata de la empresa I-Soon, que suele ser contratada por muchas agencias de la República Popular China, incluido el Ministerio de Seguridad Pública, el Ministerio de Seguridad del Estado y el Ejército Popular de Liberación. La empresa sufrió una filtración de datos durante el fin de semana del 16 de febrero.
La filtración proporciona algunos de los detalles más concretos vistos públicamente hasta la fecha, revelando la naturaleza del ecosistema de espionaje cibernético de China.
I-Soon, cuyos empleados se quejan de los bajos salarios, parece estar a cargo del espionaje a al menos 14 gobiernos extranjeros, organizaciones pro-democracia en Hong Kong, universidades y la Organización del Tratado del Atlántico Norte (OTAN).
Muchos de los archivos son versiones de materiales de marketing destinados a anunciar la empresa y sus servicios a clientes potenciales. En un intento por conseguir trabajo en Xinjiang, donde China somete a millones de ugyhurs -lo que el Consejo de Derechos Humanos de la ONU ha llamado genocidio- la compañía se jactó de su trabajo antiterrorista en el pasado. La compañía enumeró otros objetivos relacionados con el terrorismo que la compañía había hackeado anteriormente como evidencia de su capacidad para realizar estas tareas, incluyendo el objetivo de centros de lucha contra el terrorismo en Pakistán y Afganistán.
En la documentación se enumeraban imágenes de dispositivos de espionaje de hardware personalizados, incluida una herramienta destinada a parecerse a un banco de energía que en realidad pasaba los datos de la red de la víctima a los piratas informáticos.
Los documentos filtrados proporcionan indicadores, como la infraestructura de mando y control, el malware y la victimología, que se relacionan con las presuntas actividades de ciberespionaje chino observadas anteriormente por la comunidad de inteligencia. Las observaciones iniciales apuntan a actividades que abarcan una variedad de sectores y organizaciones de la industria objetivo, así como grupos de APT y conjuntos de intrusión, que la comunidad de inteligencia de amenazas rastrea, o ha estado rastreando, como grupos distintos. El alcance y la fuerza de las relaciones entre los indicadores presentes en los datos filtrados y las intrusiones pasadas todavía están sujetos a una evaluación detallada.
Un documento enumera las organizaciones objetivo y las tarifas que la empresa ganó al hackearlas. Al recopilar datos del Ministerio de Economía de Vietnam, se pagó $55,000, otros ministerios valían menos.
Amplias operaciones de piratería
Los documentos muestran aparente piratería de redes en toda Asia Central y Sudoriental, así como en Hong Kong y Taiwán. I-Soon y la policía china están investigando cómo se filtraron los archivos, dijeron los dos empleados de I-Soon a la agencia AP. Uno de los empleados dijo que I-Soon celebró una reunión el miércoles sobre la filtración y se le dijo que no afectaría demasiado a los negocios y que “continuaría trabajando con normalidad”.
Un borrador de contrato filtrado muestra que I-Soon estaba comercializando apoyo técnico “antiterrorista” a la policía de Xinjiang para rastrear a los uigures nativos de la región en Asia Central y Sudoriental, alegando que tenía acceso a datos pirateados de aerolíneas, celulares y gubernamentales de países como Mongolia, Malasia, Afganistán y Tailandia. No está claro si el contacto fue firmado.
“Vemos muchos ataques de organizaciones que están relacionadas con minorías étnicas: tibetanos, uigures. “Una gran parte de la orientación de entidades extranjeras se puede ver a través de la lente de las prioridades de seguridad nacional para el gobierno”, dijo Dakota Cary, analista de China de la firma de ciberseguridad SentinelOne.
Dijo que los documentos parecen legítimos porque se alinean con lo que se esperaría de un contratista que piratee en nombre del aparato de seguridad de China con las prioridades políticas nacionales.
Cary encontró una hoja de cálculo con una lista de repositorios de datos recopilados de las víctimas y contó a 14 gobiernos como objetivos, incluidos India, Indonesia y Nigeria. Los documentos indican que I-Soon apoya principalmente al Ministerio de Seguridad Pública, dijo.
Mathieu Tartare, un investigador de malware de la firma de ciberseguridad ESET, dice que ha vinculado a I-Soon con un grupo de hackers del estado chino que llama Fishmonger y que rastrea activamente y sobre el que escribió en enero de 2020 después de que el grupo hackeara las universidades de Hong Kong durante las protestas estudiantiles. Dijo que, desde 2022, ha visto a Fishmonger apuntar a gobiernos, ONG y grupos de reflexión en Asia, Europa, Centroamérica y los Estados Unidos.
El investigador francés de ciberseguridad Baptiste Robert también revisó los documentos y dijo que parecía que I-Soon había encontrado una manera de hackear cuentas en X, anteriormente conocida como Twitter, incluso si tienen autenticación de dos factores, así como otra para analizar las bandejas de entrada de correo electrónico. Dijo que los operadores cibernéticos de EE. UU. y sus aliados se encuentran entre los posibles sospechosos de la filtración de I-Soon porque es en su interés exponer la piratería estatal china.
Una fuga de gran impacto
Citado por la agencia AP, Jon Condra, analista de Recorded Future, una empresa de ciberseguridad, la llamó la filtración más significativa jamás vinculada a una empresa “sospechosa de proporcionar servicios de ciberespionaje e intrusión dirigida para los servicios de seguridad chinos”. Dijo que las organizaciones objetivo de I-Soon, según el material filtrado, incluyen gobiernos, empresas de telecomunicaciones en el extranjero y empresas de juegos de azar en línea dentro de China.
Hasta la fuga de 190 megabytes, el sitio web de I-Soon incluía una página que enumeraba clientes encabezada por el Ministerio de Seguridad Pública y que incluía 11 oficinas de seguridad a nivel provincial y unos 40 departamentos municipales de seguridad pública.
Otra página disponible hasta principios del martes anunció capacidades avanzadas de “ataque y defensa” de amenazas persistentes, utilizando el acrónimo APT, uno que la industria de la ciberseguridad emplea para describir los grupos de hackers más sofisticados del mundo. Los documentos internos de la filtración describen las bases de datos I-Soon de datos pirateados recopilados de redes extranjeras de todo el mundo que se anuncian y venden a la policía china.
I-Soon fue fundada en Shanghai en 2010, según los registros corporativos chinos, y tiene filiales en otras tres ciudades, incluida una en la ciudad del suroeste de Chengdu, que es responsable de la piratería, la investigación y el desarrollo, según las diapositivas internas filtradas.
Las herramientas de I-Soon parecen ser utilizadas por la policía china para frenar la disidencia en las redes sociales en el extranjero e inundarlas con contenido a favor de Pekín. Las autoridades pueden revisar directamente las plataformas de redes sociales chinas y ordenarles que retiren las publicaciones antigubernamentales. Pero carecen de esa capacidad en sitios extranjeros como Facebook o X, a los que millones de usuarios chinos acuden en masa para evadir la vigilancia estatal y la censura.
Para controlar la opinión pública y prevenir el sentimiento antigubernamental, dijo Ohlberg, el control de los puestos críticos a nivel nacional es fundamental. “Las autoridades chinas”, dijo, “tienen un gran interés en rastrear a los usuarios que tienen su sede en China”.
