司法省は、世界的なハッカー派遣活動に関与したとして、中国国籍の12人を起訴した。裁判所の文書によると、標的には米国財務省、ジャーナリスト、宗教団体などが含まれていた。攻撃はデータの窃盗と言論の自由の抑圧を目的としていた。
起訴状には、中国公安部の職員2名、Anxun Information Technologyとi-Soonという名称の民間企業の従業員8名、ハッキング集団「Advanced Persistent Threat 27」のメンバー2名の名前が記載されている。いずれも逃走中である。
「司法省は、政府と国民から盗みを働いてサイバーセキュリティを脅かす者を容赦なく追及する」と司法省国家安全保障局長スー・J・バイ氏はプレスリリースで述べた。
「本日、私たちは世界中のコンピューターやネットワークに対する無差別かつ無謀な攻撃を指揮・助長している中国政府の工作員、そして彼らが解き放った企業や個人のハッカーを摘発します。私たちは、このサイバー傭兵のエコシステムを解体し、国家安全保障を守るために、引き続き闘っていきます。」
i-Soonは米国および海外で攻撃を実行するために政府当局に雇われていた。
2人の政府職員は、2016年から2023年にかけて、i-Soonの従業員をフリーランスのハッカーとして雇い、自らの関与を隠蔽しながらデータを盗み出したとされている。彼らは、特定の被害者と推定される被害者の両方のメールアカウント、携帯電話、サーバー、ウェブサイトに侵入した。
i-Soonの米国拠点の標的には、中国政府を批判する宗教団体、中国に焦点を当てた人権団体、中国共産党に反対する報道機関やアジアに検閲のないニュースを配信する報道機関、州立研究大学、中国で禁止されている宗教団体とつながりのあるニューヨーク州議会議員、および複数の政府機関が含まれていた。
i-Soon は政治的反対者をターゲットにするだけでなく、営利を目的としたサイバー傭兵会社としても活動していました。
米国以外の標的には、宗教指導者とその事務所、中国政府に反対する香港の新聞社、台湾、インド、韓国、インドネシアの外務省などが含まれていた。ニューヨーク南部地区検事局は、これらの標的は中国政府への批判、あるいは米国とのコミュニケーションが理由であると述べている。
i-Soonは、中国情報機関の要請を受けて、また独自にハッキング活動を行い、盗んだデータを情報機関に販売していたとされています。また、公安部の職員に独自にハッキングの訓練を行い、フィッシング、パスワードクラッキング、システム侵入ソフトウェアなど、様々なサイバーツールを販売していました。
同社のプラットフォームはメール、ソーシャルメディア、そしてオペレーティングシステムを標的としており、特にTwitter(現X)アカウントを乗っ取るために特別に設計されたツールがありました。このツールを使うことで、ハッカーは被害者にフィッシングリンクを送りつけ、リンクを開くとセキュリティ対策を回避してアカウントへのアクセスを許可し、ツイートの送信、削除、いいね、転送といった方法で世論を操作していました。
一時は従業員が100人を超えたこともあるi-Soonは、侵入に成功した電子メールの受信箱1つにつき約1万ドルから7万5000ドルを請求し、中国政府に数千万ドルの利益をもたらしたと考えられている。
司法省は告訴に加え、ecoatmosphere.org、newyorker.cloud、heidrickjobs.com、maddmail.site など、i-Soon が事業宣伝に使用していた主要なインターネット ドメインをいくつか押収しました。
APT27のメンバー2人がi-Soonなどの組織を通じて盗んだデータを政府に売却した。
APT27のメンバーであるYin “YKC” Kecheng(38歳)とZhou “Coldface” Shuai(45歳)は、長年にわたり、i-Soonを含む中国政府とつながりのある組織に盗んだデータを販売していた。彼らは、米国の防衛関連企業、テクノロジー企業、政府機関(財務省を含む)、地方自治体、法律事務所、医療システム、そしてアジアの外務省を標的とし、数百万ドルの損害をもたらしたとされている。
2013年8月から2024年12月の間、彼らはゼロデイ脆弱性のスキャンや、ウェブシェルなどのマルウェアのインストールなど、高度なハッキング手法を用いて被害者のネットワークへの持続的なアクセスを維持しました。彼らは認証情報を窃取し、ホップポイントサーバーを利用してデータを盗み出し、暗号化されたVPNやVPSアカウントを利用して活動を隠蔽しました。
イン容疑者は、アメリカ人を標的にしたいという願望を公然と語り、仲間に対し「アメリカ軍に干渉したい」「大きな標的に侵入したい」と語り、車を購入できるだけの資金を稼ぎたいと語っていたとされている。また、2024年末に財務省をハッキングした事件で制裁を受けている。
個人に対する告訴とともに、コロンビア特別区の米国検察局は、彼らの犯罪行為を助長した仮想プライベート・サーバーのアカウントとインターネット・ドメインを押収した。
尹氏と周氏の逮捕と有罪判決につながる情報に対し、それぞれ最大200万ドルの報奨金が支払われる。また、司法省は、外国政府の指示の下で米国の重要インフラに対して悪意のあるサイバー活動を行った人物の特定または所在の特定につながる情報に対し、最大1,000万ドルの報奨金を提示している。
