Le département américain de la Justice a inculpé des agents de la sécurité de l’État chinois ainsi que des pirates informatiques APT27 et i-Soon pour des violations de réseau et des cyberattaques qui ont ciblé des victimes dans le monde entier depuis 2011.
Leur liste de victimes comprend des agences gouvernementales fédérales et étatiques américaines, des ministères des Affaires étrangères de plusieurs gouvernements en Asie, des dissidents basés aux États-Unis, ainsi qu’une organisation religieuse de premier plan aux États-Unis.
« Ces cyberacteurs malveillants, agissant en tant qu’indépendants ou employés d’i-Soon, ont mené des intrusions informatiques sous la direction des députés de la RPC et du ministère de la Sécurité d’État (MSS) et de leur propre initiative. Les députés et les SMS ont payé grassement pour les données volées », a déclaré aujourd’hui le ministère de la Justice.
Aujourd’hui, le ministère de la Justice a inculpé deux officiers du MPS et huit employés d’Anxun Information Technology (également connu sous le nom de i-Soon) pour leur implication dans ces attaques et a saisi le domaine utilisé par i-Soon pour faire la publicité de ses services de piratage pour compte d’autrui.
Le département d’État offre également une récompense pouvant aller jusqu’à 10 millions de dollars dans le cadre de son programme Rewards for Justice (RFJ) pour des informations qui pourraient aider à localiser ou à identifier les accusés suivants:
- Wu Haibo (吴海波), Directeur Général
- Chen Cheng (陈诚), Directeur de l’exploitation
- Wang Zhe (王哲), Directeur des ventes
- Liang Guodong (国国)), Membre du personnel technique
- Ma Li (马丽), Personnel technique
- Wang Yan (王堰), Personnel technique
- Xu Liang (徐梁), Personnel technique
- Zhou Weiwei (周伟伟), Personnel technique
- Wang Liyu (王立宇), Officier des députés
- Sheng Jing (Officer), Officier des MPS
Les actes d’accusation dévoilés aujourd’hui révèlent que des pirates informatiques d’i-Soon ont effectué des intrusions informatiques à la demande du MSS. Ils ont également piraté des cibles de manière indépendante et tenté de vendre des données volées à au moins 43 bureaux de médecins ou de députés dans 31 provinces et municipalités chinoises.
i-Soon a facturé au MSS et aux MPS entre 10 000 et 75 000 dollars pour chaque boîte de réception de courrier électronique compromise et a également formé les employés de MPS.
Les hackers chinois Yin Kecheng (alias YKCAI) et Zhou Shuai (alias Coldface), liés au groupe de piratage APT27 soutenu par l’État, ont également été inculpés aujourd’hui pour leur implication dans cette campagne mondiale de piratage.
Alors qu’ils sont tous les deux toujours en liberté, le Bureau du contrôle des avoirs étrangers (OFAC) du Département du Trésor les a sanctionnés,tandis que le Département d’État a annoncé des récompenses pouvant aller jusqu’à 2 millions de dollars pour des informations conduisant à leurs arrestations et condamnations.
« Comme allégué dans des documents judiciaires, entre août 2013 et décembre 2024, Yin, Zhou et leurs co-conspirateurs ont exploité les vulnérabilités des réseaux de victimes, effectué des reconnaissances une fois à l’intérieur de ces réseaux et installé des logiciels malveillants, tels que les logiciels malveillants PlugX, qui ont fourni un accès persistant, » le DOJ a déclaré mercredi.
« Les accusés et leurs co-conspirateurs ont ensuite identifié et volé des données des réseaux compromis en les exfiltrant vers des serveurs sous leur contrôle. Ensuite, ils ont négocié des données volées pour les vendre et les ont fournies à divers clients, dont certains seulement avaient des liens avec le gouvernement et l’armée de la RPC.
« Entre eux, Yin et Zhou ont cherché à tirer profit du piratage de nombreuses entreprises technologiques, groupes de réflexion, cabinets d’avocats, entrepreneurs de la défense, gouvernements locaux, systèmes de santé et universités basés aux États-Unis, laissant derrière eux des millions de dollars de dommages et intérêts. »
Les inculpations et sanctions d’aujourd’hui font partie d’un effort plus large de lutte contre les cyberattaques coordonnées par les cybercriminels chinois et les pirates informatiques parrainés par l’État.
En décembre, l’OFAC a sanctionné Sichuan Silence et l’un de ses employés pour leur implication dans des attaques de ransomware Ragnarok ciblant des infrastructures critiques américaines.
Un mois plus tard, il a également ciblé la société chinoise de cybersécurité Integrity Tech pour son implication dans des cyberattaques liées au groupe de piratage Flax Typhoon parrainé par l’État chinois et a sanctionné Yin Kecheng pour son rôle dans la violation du réseau du Département du Trésor l’année dernière.