I-SOONの帰属:複数の中国国営グループと関係のある民間請負業者

投稿: 2024年3月20日

作成者 : Insikt Group®

Attributing I-SOON: Private Contractor Linked to Multiple Chinese State-sponsored Groups

新しいInsikt Group Researchは、最近のi-SOONリークに関する最新の洞察を提供します。 2024年2月18日、Anxun Information Technology Co., Ltd.からの匿名の文書流出 (i-SOON)は、中国のITおよびサイバーセキュリティ企業であり、中国の国家が支援するサイバースパイ活動に光を当てています。このリークは、i-SOONとRedAlpha、RedHotel、POISON CARPなどのいくつかの中国国家支援サイバーグループとのつながりを明らかにしており、個人を追跡するための通信データの盗難を含むスパイ活動の高度なネットワークを示しているため、重要です。

i-SOONに関連する中国の脅威活動グループ(出典:Recorded Future)

Insikt Groupがリークされた資料を分析した結果、i-SOONとこれらのスパイグループとの運用上および組織上のつながりが確認され、中国の攻撃的なサイバーエコシステム全体で共有サイバー能力を提供するデジタルクォーターマスターの役割も裏付けられました。この情報は、ネットワーク防御者にとって非常に貴重であり、公共および民間組織に対する標的型サイバースパイ活動の動機と方法論についての洞察を提供します。

リークにもかかわらず、i-SOONは、国家が支援するサイバー活動に従事する中国の広範な民間請負業者ネットワーク内の比較的小さな組織であり、わずかな調整で事業を継続すると予想されています。この暴露は、i-SOONの人員に対する将来の米国の法的措置に影響を与える可能性があると同時に、中国のサイバースパイ活動の規模と巧妙さをより深く理解するきっかけとなるかもしれない。

注目すべきは、この資料がリークされて以来、Insikt Groupは、i-SOONに関連するグループであるRedAlphaとRedHotelから新たに観測されたドメインとインフラストラクチャの開発をすでに特定していることです。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

付録A — 侵害を示す指標

Note: These indicators are historical and often date back several years. They are included solely as a collation of the referenced infrastructure used in this report to identify connections between i-SOON and tracked Chinese state-sponsored threat activity and should not be used as indications of current activity. 

 Domains:
 1ds[.]me
 antspam-mail[.]services
 bayantele[.]xyz
 dnslookup[.]services
 docx[.]1ds[.]me
 gmail[.]isooncloud[.]com
 gmailapp[.]me
 i-soon[.]net
 ip[.]1ds[.]me
 lengmo[.]myds[.]me
 lengmo[.]net
 linercn[.]org
 livehost[.]live
 mailnotes[.]online
 mailteso[.]online
 mpt[.]buzz
 mptcdn[.]com
 mydigi[.]site
 news[.]1ds[.]me
 wcuhk[.]livehost[.]live
 web[.]goog1eweb[.]com
 whkedu[.]dnslookup[.]services
 www[.]gmailapp[.]me
 www[.]sw-hk[.]services
 
 IP Addresses:
 1.192.194[.]162
 66.98.127[.]105
 101.219.17[.]111
 118.31.3[.]116
 171.88.142[.]148
 171.88.143[.]37
 171.88.143[.]72
 221.13.74[.]218
 
 Email Addresses:
 Chen Cheng aka lengmo:
 l3n6m0@gmail[.]com
 
 Wu Haibo aka Shutd0wn:
 shutdown@139[.]com
 
 Zheng Huadong:
 yetiddbb@qq[.]com
 
 Liang Guodong aka liner aka girder:
 girvtr@gmail[.]com
 liang007@outlook[.]com
 gird4r@gmail[.]com
 girder1992@hotmail[.]com
 evalliang@163[.]com
 6060841@qq[.]com
 leungguodong@outlook[.]com
 l3nor@hotmail[.]com