Ένας θησαυρός με έγγραφα που διέρρευσαν από μια ομάδα πειρατείας που συνδέεται με το κινεζικό κράτος, συγκεκριμένα την I-Soon, σηματοδότησε τις ανησυχητικές δραστηριότητες των μυστικών υπηρεσιών και στρατιωτικών ομάδων του Πεκίνου σε απόπειρες μεγάλης κλίμακας, συστηματικές εισβολές στον κυβερνοχώρο κατά ξένων κυβερνήσεων, εταιρειών και υποδομών. Μια διαρροή του GitHub στις 16 Φεβρουαρίου 2024 παρείχε μια πρώτη στο είδος του ματιά στις εσωτερικές λειτουργίες αυτού του εργολάβου hacking που συνδέεται με το κινεζικό κράτος, με έδρα τη Σαγκάη. Το Associated Press επιβεβαίωσε την αυθεντικότητα της διαρροής με δύο υπαλλήλους της I-Soon. Μεταξύ των αρχείων που ανέβηκαν υπάρχουν δεκάδες έγγραφα μάρκετινγκ, εικόνες και στιγμιότυπα οθόνης και χιλιάδες μηνύματα WeChat μεταξύ εργαζομένων και πελατών του I-Soon.
Ένας αναλυτής που εδρεύει στην Ταϊβάν βρήκε το ντοκουμέντο στο GitHub και μοιράστηκε τα ευρήματά του στα μέσα κοινωνικής δικτύωσης. Ο ερευνητής τόνισε το λογισμικό κατασκοπείας που αναπτύχθηκε από την I-Soon για συσκευές Windows, Mac, iPhone και Android, καθώς και συσκευές hacking υλικού που έχουν σχεδιαστεί για χρήση σε πραγματικές καταστάσεις που μπορούν να σπάσουν κωδικούς πρόσβασης Wi-Fi, να εντοπίσουν συσκευές Wi-Fi και διαταράσσει τα σήματα Wi-Fi. Οι φωτογραφίες και τα έγγραφα δείχνουν επίσης κιτ παρακολούθησης υλικού, συμπεριλαμβανομένου αυτού που περιέγραψε η SentinelLabs ως «ένα εργαλείο που προοριζόταν να μοιάζει με power bank που στην πραγματικότητα μεταβίβαζε δεδομένα από το δίκτυο του θύματος στους χάκερ», μαζί με αυτό που η Malwarebytes Labs είπε ότι ήταν «ειδικός εξοπλισμός για λειτουργούς που εργάζονται στο εξωτερικό για τη δημιουργία ασφαλούς επικοινωνίας.
Τα TeraBytes δεδομένων έχουν κλαπεί από την I-Soon από: Καζακστάν, Κιργιστάν, Μαλαισία, Μογγολία, Νεπάλ, Τουρκία, Ινδία, Αίγυπτο, Γαλλία, Ρουάντα, Νιγηρία, Ινδονησία, Βιετνάμ, Μιανμάρ, Φιλιππίνες, Αφγανιστάν και Χονγκ Κονγκ. Οι στοχευόμενοι οργανισμοί κάλυπταν τους τομείς της ακαδημίας, της αεροδιαστημικής, της κυβέρνησης, των μέσων ενημέρωσης, των τηλεπικοινωνιών και της έρευνας και ανάπτυξης. Ινδικοί οργανισμοί όπως BSNL, Air India, EPFO, Apollo Hospitals έχουν αναφερθεί στα αρχεία. Ωστόσο, κανένα στοιχείο χρήστη που συνδέεται με αυτά δεν έχει διαρρεύσει. Ένα υπολογιστικό φύλλο απαριθμούσε 80 στόχους στο εξωτερικό τους οποίους οι χάκερ της I-Soon φαινόταν ότι είχαν παραβιάσει με επιτυχία. Η συλλογή περιελάμβανε 95,2 gigabyte δεδομένων μετανάστευσης από την Ινδία και μια συλλογή 3 terabyte αρχείων καταγραφής κλήσεων από τον πάροχο τηλεπικοινωνιών LG U Plus της Νότιας Κορέας.
Η I-Soon ισχυρίστηκε στο φυλλάδιο της επωνυμίας της σχετικά με την ικανότητα και την επάρκειά τους να στοχεύουν αρκετούς ινδικούς κρατικούς φορείς και να χρησιμεύουν ως ομάδα APT για να στοχεύσουν οργανισμούς που σχετίζονται με το Θιβέτ. Τον Δεκέμβριο του 2021, η ομάδα ισχυρίστηκε ότι είχε αποκτήσει πρόσβαση στο ενδοδίκτυο της εξόριστης θιβετιανής κυβέρνησης (CTA, Dharamsala), ξεκινώντας μια ξέφρενη αναζήτηση αγοραστή. Οι Κινέζοι χάκερ διευκόλυναν επίσης τις προσπάθειες εξαγωγής πληροφοριών από τους στενούς διπλωματικούς εταίρους του Πεκίνου, συμπεριλαμβανομένων, ενδεικτικά, του Πακιστάν και της Καμπότζης.
Σε μια προσπάθεια να βρει δουλειά στο Σιντζιάνγκ –όπου η Κίνα συνεχίζει να υποβάλλει εκατομμύρια Ουγκιούρους σε αυτό που το Συμβούλιο Ανθρωπίνων Δικαιωμάτων του ΟΗΕ αποκάλεσε γενοκτονία– η εταιρεία καυχιόταν για την αντιτρομοκρατική εργασία του παρελθόντος. Η ευχαριστήρια επιστολή που έλαβε η I-Soon από την ομάδα ασφάλειας δικτύου του γραφείου δημόσιας ασφάλειας της περιοχής Kashgar στο Xinjiang υποδηλώνει ότι η I-Soon έχει πραγματοποιήσει έργα για αξιωματούχους δημόσιας ασφάλειας στην περιοχή Xinjiang. Η εταιρεία απαρίθμησε άλλους στόχους που σχετίζονται με την τρομοκρατία που η εταιρεία είχε παραβιάσει στο παρελθόν ως απόδειξη της ικανότητάς τους να εκτελούν αυτά τα καθήκοντα, συμπεριλαμβανομένης της στόχευσης αντιτρομοκρατικών κέντρων στο Πακιστάν και το Αφγανιστάν.
Η διαρροή άνοιξε το καπάκι στην εμπορική βιομηχανία hacking της Κίνας και παρείχε πρωτοφανή εικόνα για τον κόσμο των κινεζικών χάκερ προς μίσθωση. Στη λίστα συμβάσεων Sichuan I-Soon που διέρρευσε, 66 από τις 120 συμβάσεις εξυπηρετούσαν διάφορα γραφεία δημόσιας ασφάλειας. 22 συμβάσεις εξυπηρετούσαν τις ανάγκες των κρατικών υπηρεσιών ασφαλείας. μόνο ένα συμβόλαιο εξυπηρετούσε την PLA –και αυτή ήταν επίσης η μόνη σύμβαση που χαρακτηρίστηκε ως «μυστική»– και οι υπόλοιπες 31 συμβάσεις εξυπηρετούσαν άλλες κυβερνητικές υπηρεσίες, ερευνητικά ινστιτούτα, κρατικές επιχειρήσεις κ.λπ. Η I-Soon είχε επίσης διασυνδέσεις με πανεπιστήμια σε όλη την επαρχία Σιτσουάν , μέσω της φιλοξενίας διαγωνισμών hacking και της προσφοράς μαθημάτων κατάρτισης μέσω του I-Soon Institute. Διαθέτει τρεις θυγατρικές και γραφεία που βρίσκονται στο Nanjing (Jiangsu), στο Taizhou και στο Ningbo (Zhejiang).
Μια ποικιλία αναλύσεων πληροφοριών για απειλές στον κυβερνοχώρο (CTI) έχουν επισημάνει ότι η επαρχία Σιτσουάν είναι ένα «γνωστό καυτό σημείο για πειρατεία» και ότι το Τσενγκντού, η πρωτεύουσα της επαρχίας Σιτσουάν, «έχει γίνει κόμβος για την κινεζική δραστηριότητα προηγμένης επίμονης απειλής (APT). ” Ο Διευθύνων Σύμβουλος Wu Haibo είναι ο μοναδικός ελεγκτής της I-Soon και των θυγατρικών της. Ο ιστότοπος της εταιρείας αντικατοπτρίζει το πατριωτικό του υπόβαθρο χάκερ. Σύμφωνα με την ιστοσελίδα της εταιρείας, επέλεξε το όνομα I-Soon από το tagline της, που σημαίνει ότι η κυβερνοασφάλεια δεν έχει όρια και δεν υπάρχει τέλος στη μάθηση. Η ιστοσελίδα I-Soon ισχυρίζεται ότι η εταιρική της κουλτούρα φιλοδοξεί να «γίνει μια στέρεη εθνική αμυντική δύναμη με ισχυρό αίσθημα πολιτικής ευθύνης και πνεύμα υψηλής ευθύνης προς το Κόμμα και το Λαό».