En las entrañas del ciberespionaje chino

Una filtración en GitHub desveló que la compañía I-Soon forma parte del ecosistema de empresas que proporcionan servicios de ciberespionaje para el gobierno chino.

Investigadores de Harfanglab han realizado un exhaustivo análisis de la información publicada, proporcionando una visión sin precedentes que ilustra las capacidades de este tipo de agentes.

Diapositiva del leak que menciona al equipo de “APT Research”

Los documentos filtrados se publicaron en un repositorio de GitHub el día 16 de febrero. El día 18 el investigador de threat intelligence Azaka se hacía eco del leak en twitter y comenzaba con su análisis en ese propio hilo.

Se desconoce la proveniencia de la filtración, aunque entre la información subida al repositorio se encuentran conversaciones de directivos y empleados de la compañía, por lo que el nivel de acceso obtenido por el responsable del leak es sin duda muy elevado.

Productos y servicios ofrecidos por I-Soon

Oficialmente la compañía ofrece servicios de consultoría de seguridad de la información. Según se extrae del leak, en 2013 comenzó la actividad de una división centrada en lo que denominan “APT Research”. El foco principal de esta sería ofrecer servicios de:

• Adquisición de acceso, provisión de un punto de acceso a la red de la víctima.
• Exfiltración de datos, recolección de datos de la víctima designada.
• Producción de inteligencia, análisis de los datos exfiltrados para la creación de informes, notas y selección de documentos de interés.

Software ofensivo

En su catálogo I-Soon oferta múltiples herramientas destinadas a la implantación de malware en sistemas Windows, Linux, MacOS, iOS y Android.

Destaca un troyano de acceso remoto para Windows que, según los investigadores de Harfanglab, sería una variante de ShadowPad, una familia de malware utilizada por múltiples actores maliciosos relacionados con la red de ciberespionaje china.

Es de interés también una conversación en la cual se puede entrever cómo el gobierno chino organiza la distribución de la información sobre las vulnerabilidades zero-day descubiertas en la competición local de hacking Tianfu Cup.

Plataformas

La compañía ofrece un framework basado en ruby y compuesto de distintos módulos para la automatización de tests de penetración. Al parecer este estaría basado en herramientas de código abierto, como Metasploit, Nmap y otras.

Se menciona también un sistema para la brecha de cuentas de outlook mediante el robo de credenciales. La misma plataforma permitiría extraer sistemáticamente los emails recibidos en la cuenta afectada.

I-Soon ofrece una suite completa para extraer la información más relevante de grandes volúmenes de emails, como datos de identificación personal y credenciales.

Según publicita la empresa este proceso estaría asistido por herramientas de deep learning que permitirían además establecer relaciones con terceras personas mencionadas en los emails analizados.

Productos hardware

Uno de los productos que ofrece la compañía en su catálogo es un equipo portátil con sistema operativo Windows con una gran colección de herramientas de seguridad pre-instaladas y ordenadas en distintas categorías.

Se describe también un dispositivo pequeño y discreto preparado para atacar redes Wi-Fi. Mediante el escaneo de redes cercanas, la herramienta recolecta información criptográfica (handshake del protocolo WPA) que envía a servicios de cracking en la nube mediante un enlace 5G.

Víctimas

En documentos comerciales presentes en la filtración, I-Soon ilustra las capacidades de su grupo de “APT Research” con ejemplos concretos de organizaciones infiltradas por su servicio.

Según estos documentos la actividad del grupo no parece especializarse en algún tipo de inteligencia en concreto. Realiza tanto actividades de vigilancia a objetivos específicos dentro del territorio chino como operaciones de espionaje internacional.

La información filtrada ha permitido además relacionar a la empresa con actividades previamente documentadas de APTs relacionadas con el gobierno chino, como APT41, Team Tonto y Fishmonger.

China es uno de los grande actores en la escena del ciberespionaje internacional, esta filtración es de gran valor para comprender mejor como el sector privado contribuye a las capacidades del gigante asiático y la implicación del mismo en las operaciones de vigilancia nacional y campañas dirigidas contra gobiernos y organizaciones extranjeras.

Fuentes e información adicional:

• https://harfanglab.io/en/insidethelab/isoon-leak-analysis/
• https://github.com/mttaggart/I-S00N/tree/main
• https://twitter.com/AzakaSekai_/status/1759326049262019025
• https://apnews.com/article/china-cybersecurity-leak-document-dump-spying-aac38c75f268b72910a94881ccbb77cb
• https://news.risky.biz/risky-biz-briefing-the-i-soon-data-leak/
• https://krebsonsecurity.com/2024/02/new-leak-shows-business-side-of-chinas-apt-menace/
• https://www.sentinelone.com/labs/unmasking-i-soon-the-leak-that-revealed-chinas-cyber-operations/