I-SOON zuschreiben: Privater Auftragnehmer mit Verbindungen zu mehreren staatlich geförderten chinesischen Gruppen

I-SOON zuschreiben: Privater Auftragnehmer mit Verbindungen zu mehreren staatlich geförderten chinesischen Gruppen

insikt-group-logo-aktualisiert-3-300x48.png

Die neue Studie der Insikt Group bietet aktuelle Erkenntnisse zum jüngsten i-SOON-Leck. Am 18. Februar 2024 kam es zu einem anonymen Dokumentenleck bei Anxun Information Technology Co., Ltd. (i-SOON), ein chinesisches IT- und Cybersicherheitsunternehmen, hat Licht in die staatlich geförderten Cyber-Spionageoperationen Chinas gebracht. Das Leck ist von Bedeutung, da es die Verbindungen zwischen i-SOON und mehreren vom chinesischen Staat gesponserten Cyber-Gruppen wie RedAlpha, RedHotel und POISON CARP aufdeckt und auf ein hochentwickeltes Netzwerk von Spionageoperationen hinweist, das auch den Diebstahl von Telekommunikationsdaten zur Verfolgung einzelner Personen einschließt.

ich-bald.png
Mit i-SOON in Verbindung stehende chinesische Bedrohungsaktivitätsgruppen (Quelle: Recorded Future)

Die Analyse der durchgesickerten Materialien durch die Insikt Group bestätigte die operativen und organisatorischen Verbindungen zwischen i-SOON und diesen Spionagegruppen und untermauerte auch die Rolle der digitalen Quartiermeister bei der Bereitstellung gemeinsamer Cyber-Fähigkeiten im offensiven Cyber-Ökosystem Chinas. Diese Informationen sind für Netzwerkverteidiger von unschätzbarem Wert, da sie Einblicke in die Motivationen und Methoden gezielter Cyber-Spionage gegen Organisationen des öffentlichen und privaten Sektors bieten.

Trotz des Lecks ist davon auszugehen, dass i-SOON, ein relativ kleines Unternehmen innerhalb des ausgedehnten chinesischen Netzwerks privater Auftragnehmer, die an staatlich geförderten Cyberaktivitäten beteiligt sind, seine Aktivitäten mit geringfügigen Anpassungen fortsetzt. Die Enthüllungen könnten Auswirkungen auf künftige rechtliche Schritte der USA gegen i-SOON-Mitarbeiter haben und bieten zugleich ein tieferes Verständnis für das Ausmaß und die Raffinesse der chinesischen Cyber-Spionage-Bemühungen.

Bemerkenswerterweise hat die Insikt Group seit dem Durchsickern des Materials bereits neu beobachtete Domänen- und Infrastrukturentwicklungen der mit i-SOON verbundenen Gruppen RedAlpha und RedHotel identifiziert.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Anmerkung: Diese Indikatoren sind historisch und reichen oft mehrere Jahre zurück. Sie dienen lediglich als Zusammenstellung der in diesem Bericht genannten Infrastruktur, um Verbindungen zwischen i-SOON und verfolgten staatlich geförderten chinesischen Bedrohungsaktivitäten zu identifizieren, und sollten nicht als Hinweise auf aktuelle Aktivitäten verwendet werden.

Domänen:
1ds[.]Ich
antspam-mail[.]Dienste
bayantele[.]Xyz
dnslookup[.]Dienste
docx[.]1ds[.]Ich
gmail[.]isooncloud[.]COM
gmailapp[.]Ich
i-soon[.]netto
ip[.]1ds[.]Ich
lengmo[.]myds[.]Ich
lengmo[.]netto
linercn[.]Org
livehost[.]leben
mailnotes[.]online
mailteso[.]online
mpt[.]summen
mptcdn[.]COM
mydigi[.]Platz
news[.]1ds[.]Ich
wcuhk[.]livehost[.]leben
web[.]goog1eweb[.]COM
whkedu[.]dnslookup[.]Dienste
www[.]gmailapp[.]Ich
www[.]sw-hk[.]Dienste

IP-Adressen:
1.192.194[.]162
66.98.127[.]105
101.219.17[.]111
118.31.3[.]116
171.88.142[.]148
171.88.143[.]37
171.88.143[.]72
221.13.74[.]218

E-Mail-Adressen:\ Chen Cheng aka lengmo:
l3n6m0@gmail[.]COM
\ Wu Haibo aka Shutd0wn:
shutdown@139[.]COM
\ Zheng Huadong:
yetiddbb@qq[.]COM
\ Liang Guodong aka Liner aka Träger:
girvtr@gmail[.]COM
liang007@outlook[.]COM
gird4r@gmail[.]COM
girder1992@hotmail[.]COM
evalliang@163[.]COM
6060841@qq[.]COM
leungguodong@outlook[.]COM
l3nor@hotmail[.]COM