I-Soon: leak della società fa luce sul cyberspionaggio “for hire” in Cina

Lo scorso febbraio è stato rilasciato su GitHub un database di informazioni relative alla società cinese I-Soon, importante appaltatore di varie agenzie governative, che ha contribuito a far luce su parte del complesso ecosistema costituito dal Governo di Pechino per le attività di cyberspionaggio.

I-Soon (Anxun) è una compagnia di cybersicurezza e servizi tecnologici su commissione fondata a Shanghai nel 2010 dal suo attuale CEO, l’hacktivista e pioniere del settore Wu Haibo (alias shutdown). Ha filiali in altre tre città, fra cui Chengdu, nel sud-ovest del Paese, dove si è andata formando una consistente rete di aziende “hack for hire”. Uno dei i suoi primi finanziatori è stata la società Qihoo 360 Technology, nota per la popolare soluzione antivirus. Al suo attivo vi sarebbero collaborazioni con realtà come il Ministero della Pubblica Sicurezza, il Ministero della Sicurezza dello Stato e l’Esercito popolare di liberazione.

Negli ultimi anni, diverse analisi hanno ricostruito un presunto sistema finalizzato al cyberspionaggio state-sponsored composto da centri di formazione e ricerca, front company e dipartimenti governativi, distribuito in diverse regioni della Cina. In alcuni casi, si è arrivati a individuare, localizzare e correlare società, sedi dell’intelligence, presunti operatori e APT coinvolti. Il recente leak, la cui attendibilità è stata confermata, si inserisce in quella linea di analisi e mette in evidenza il coinvolgimento diretto di I-Soon nelle campagne finanziate dalla Cina e le possibili interrelazioni con avversari come AQUATIC PANDA e la galassia Axiom.

Nel dettaglio, il database contiene contratti con l’intelligence e varie agenzie governative cinesi, documenti di marketing, tool, chat interne fra personale operativo e fra executives. In particolare, sono stati resi pubblici: descrizioni dei servizi offerti ai clienti; una serie di strumenti per lo spionaggio, fra cui RAT per Windows, iOS e Android; un elenco di domini presi di mira; una raccolta di registri relativi a chiamate compromesse. Inoltre, è stata fornita la descrizione di un kit hardware di sorveglianza mascherato da powerbank e di un’attrezzatura speciale in dotazione agli agenti in missione all’estero. Fra i servizi tecnici, spicca la possibilità di violare account X, ottenere i relativi indirizzi di contatto e credenziali di accesso e accedere ai messaggi diretti e alla pubblicazione dei tweet.

Fra i target vi sarebbero realtà di alto profilo, come alcuni dipartimenti governativi britannici e indiani, il Ministero delle Finanze della Romania, il Palestinian Prime Minister Officer, università e centri di ricerca a Taiwan, Human Rights Watch e Amnesty International. La compagnia avrebbe collaborato ad attività di monitoraggio delle minoranze etniche in Tibet, degli uiguri nello Xinjiang, di organizzazioni pro-democrazia di Hong Kong, di agenzie governative in Ruanda, Indonesia, Malesia, Tailandia, Vietnam, Cambogia, Nigeria, Mongolia, Myanmar, di varie entità del Kirghizistan e di realtà correlate al conflitto fra Pakistan e Afghanistan.

I-Soon avrebbe anche fornito assistenza per un attacco supply chain del settembre 2022 nel quale è stata implicata la società di software canadese Comm100. Inoltre, in alcune chat interne si fa riferimento a un progetto di attacco contro realtà della NATO, poi messo da parte. Al momento, non risulterebbero coinvolte realtà italiane.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.