I-SOON zuschreiben: Privater Auftragnehmer mit Verbindungen zu mehreren staatlich geförderten chinesischen Gruppen

Die neue Studie der Insikt Group bietet aktuelle Erkenntnisse zum jüngsten i-SOON-Leck. Am 18. Februar 2024 kam es zu einem anonymen Dokumentenleck bei Anxun Information Technology Co., Ltd. (i-SOON), ein chinesisches IT- und Cybersicherheitsunternehmen, hat Licht in die staatlich geförderten Cyber-Spionageoperationen Chinas gebracht. Das Leck ist von Bedeutung, da es die Verbindungen zwischen i-SOON und mehreren vom chinesischen Staat gesponserten Cyber-Gruppen wie RedAlpha, RedHotel und POISON CARP aufdeckt und auf ein hochentwickeltes Netzwerk von Spionageoperationen hinweist, das auch den Diebstahl von Telekommunikationsdaten zur Verfolgung einzelner Personen einschließt.

Mit i-SOON in Verbindung stehende chinesische Bedrohungsaktivitätsgruppen (Quelle: Recorded Future)

Die Analyse der durchgesickerten Materialien durch die Insikt Group bestätigte die operativen und organisatorischen Verbindungen zwischen i-SOON und diesen Spionagegruppen und untermauerte auch die Rolle der digitalen Quartiermeister bei der Bereitstellung gemeinsamer Cyber-Fähigkeiten im offensiven Cyber-Ökosystem Chinas. Diese Informationen sind für Netzwerkverteidiger von unschätzbarem Wert, da sie Einblicke in die Motivationen und Methoden gezielter Cyber-Spionage gegen Organisationen des öffentlichen und privaten Sektors bieten.

Trotz des Lecks ist davon auszugehen, dass i-SOON, ein relativ kleines Unternehmen innerhalb des ausgedehnten chinesischen Netzwerks privater Auftragnehmer, die an staatlich geförderten Cyberaktivitäten beteiligt sind, seine Aktivitäten mit geringfügigen Anpassungen fortsetzt. Die Enthüllungen könnten Auswirkungen auf künftige rechtliche Schritte der USA gegen i-SOON-Mitarbeiter haben und bieten zugleich ein tieferes Verständnis für das Ausmaß und die Raffinesse der chinesischen Cyber-Spionage-Bemühungen.

Bemerkenswerterweise hat die Insikt Group seit dem Durchsickern des Materials bereits neu beobachtete Domänen- und Infrastrukturentwicklungen der mit i-SOON verbundenen Gruppen RedAlpha und RedHotel identifiziert.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Note: These indicators are historical and often date back several years. They are included solely as a collation of the referenced infrastructure used in this report to identify connections between i-SOON and tracked Chinese state-sponsored threat activity and should not be used as indications of current activity. Domains: 1ds[.]me antspam-mail[.]services bayantele[.]xyz dnslookup[.]services docx[.]1ds[.]me gmail[.]isooncloud[.]com gmailapp[.]me i-soon[.]net ip[.]1ds[.]me lengmo[.]myds[.]me lengmo[.]net linercn[.]org livehost[.]live mailnotes[.]online mailteso[.]online mpt[.]buzz mptcdn[.]com mydigi[.]site news[.]1ds[.]me wcuhk[.]livehost[.]live web[.]goog1eweb[.]com whkedu[.]dnslookup[.]services www[.]gmailapp[.]me www[.]sw-hk[.]services IP Addresses: 1.192.194[.]162 66.98.127[.]105 101.219.17[.]111 118.31.3[.]116 171.88.142[.]148 171.88.143[.]37 171.88.143[.]72 221.13.74[.]218 Email Addresses: Chen Cheng aka lengmo: l3n6m0@gmail[.]com Wu Haibo aka Shutd0wn: shutdown@139[.]com Zheng Huadong: yetiddbb@qq[.]com Liang Guodong aka liner aka girder: girvtr@gmail[.]com liang007@outlook[.]com gird4r@gmail[.]com girder1992@hotmail[.]com evalliang@163[.]com 6060841@qq[.]com leungguodong@outlook[.]com l3nor@hotmail[.]com