I-SOON zuschreiben: Privater Auftragnehmer mit Verbindungen zu mehreren staatlich geförderten chinesischen Gruppen

Die neue Studie der Insikt Group bietet aktuelle Erkenntnisse zum jüngsten i-SOON-Leck. Am 18. Februar 2024 kam es zu einem anonymen Dokumentenleck bei Anxun Information Technology Co., Ltd. (i-SOON), ein chinesisches IT- und Cybersicherheitsunternehmen, hat Licht in die staatlich geförderten Cyber-Spionageoperationen Chinas gebracht. Das Leck ist von Bedeutung, da es die Verbindungen zwischen i-SOON und mehreren vom chinesischen Staat gesponserten Cyber-Gruppen wie RedAlpha, RedHotel und POISON CARP aufdeckt und auf ein hochentwickeltes Netzwerk von Spionageoperationen hinweist, das auch den Diebstahl von Telekommunikationsdaten zur Verfolgung einzelner Personen einschließt.

Mit i-SOON in Verbindung stehende chinesische Bedrohungsaktivitätsgruppen (Quelle: Recorded Future)

Die Analyse der durchgesickerten Materialien durch die Insikt Group bestätigte die operativen und organisatorischen Verbindungen zwischen i-SOON und diesen Spionagegruppen und untermauerte auch die Rolle der digitalen Quartiermeister bei der Bereitstellung gemeinsamer Cyber-Fähigkeiten im offensiven Cyber-Ökosystem Chinas. Diese Informationen sind für Netzwerkverteidiger von unschätzbarem Wert, da sie Einblicke in die Motivationen und Methoden gezielter Cyber-Spionage gegen Organisationen des öffentlichen und privaten Sektors bieten.

Trotz des Lecks ist davon auszugehen, dass i-SOON, ein relativ kleines Unternehmen innerhalb des ausgedehnten chinesischen Netzwerks privater Auftragnehmer, die an staatlich geförderten Cyberaktivitäten beteiligt sind, seine Aktivitäten mit geringfügigen Anpassungen fortsetzt. Die Enthüllungen könnten Auswirkungen auf künftige rechtliche Schritte der USA gegen i-SOON-Mitarbeiter haben und bieten zugleich ein tieferes Verständnis für das Ausmaß und die Raffinesse der chinesischen Cyber-Spionage-Bemühungen.

Bemerkenswerterweise hat die Insikt Group seit dem Durchsickern des Materials bereits neu beobachtete Domänen- und Infrastrukturentwicklungen der mit i-SOON verbundenen Gruppen RedAlpha und RedHotel identifiziert.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Hinweis: Diese Indikatoren sind historisch und liegen oft mehrere Jahre zurück. Sie dienen ausschließlich als Zusammenstellung der in diesem Bericht referenzierten Infrastruktur, die zur Ermittlung von Verbindungen zwischen i-SOON und verfolgten, vom chinesischen Staat gesponserten Bedrohungsaktivitäten verwendet wird, und sollten nicht als Hinweise auf aktuelle Aktivitäten verwendet werden. Domänen: 1ds[.]me Antspam-Mail[.]Dienste bayantele[.]xyz dnslookup[.]services docx[.]1ds[.]me gmail[.]isooncloud[.]com gmailapp[.]me i-soon[.]net ip[.]1ds[.]me lengmo[.]myds[.]me lengmo[.]net linercn[.]org livehost[.]live mailnotes[.]online mailteso[.]online mpt[.]buzz mptcdn[.]com meinedigi[.]site news[.]1ds[.]me wcuhk[.]livehost[.]live web[.]goog1eweb[.]com whkedu[.]dnslookup[.]dienste www[.]gmailapp[.]me www[.]sw-hk[.]dienste IP-Adressen: 1.192.194[.]162 66.98.127[.]105 101.219.17[.]111 118.31.3[.]116 171.88.142[.]148 171.88.143[.]37 171.88.143[.]72 221.13.74[.]218 E-Mail-Adressen: Chen Cheng aka lengmo: l3n6m0@gmail[.]com Wu Haibo alias Shutd0wn: shutdown@139[.]com Zheng Huadong: yetiddbb@qq[.]com Liang Guodong alias Liner alias Träger: girvtr@gmail[.]com liang007@outlook[.]com gird4r@gmail[.]com girder1992@hotmail[.]com evalliang@163[.]com 6060841@qq[.]com leungguodong@outlook[.]com l3nor@hotmail[.]com