La policía china está investigando un vertido en línea no autorizado y muy inusual de documentos de un contratista de seguridad privado vinculado a la principal agencia policial del país y otras partes de su gobierno, un tesoro que cataloga aparente actividad de piratería y herramientas para espiar tanto a chinos como a extranjeros.
Entre los objetivos aparentes de las herramientas proporcionadas por la empresa afectada, I-Soon, se encuentran etnias y disidentes en partes de China que han sido testigos de importantes protestas antigubernamentales, como Hong Kong o la región predominantemente musulmana de Xinjiang en el extremo occidental de China.
El vertido de decenas de documentos a finales de la semana pasada y la investigación posterior fueron confirmados por dos empleados de I-Soon, conocido como Anxun en mandarín, que tiene vínculos con el poderoso Ministerio de Seguridad Pública. El volcado, que los analistas consideran muy significativo incluso si no revela ninguna herramienta especialmente novedosa o potente, incluye cientos de páginas de contratos, presentaciones de marketing, manuales de productos y listas de clientes y empleados.
Revelan, en detalle, los métodos utilizados por las autoridades chinas para vigilar a los disidentes en el extranjero, piratear otras naciones y promover narrativas pro-Beijing en las redes sociales.
Los documentos muestran un aparente pirateo de redes por parte de I-Soon en Asia central y sudoriental, así como en Hong Kong y la isla autónoma de Taiwán, que Beijing reclama como su territorio.
Las herramientas de piratería son utilizadas por agentes estatales chinos para desenmascarar a los usuarios de plataformas de redes sociales fuera de China, como X, antes conocida como Twitter, ingresar al correo electrónico y ocultar la actividad en línea de agentes extranjeros. También se describen dispositivos disfrazados de regletas y baterías que pueden usarse para comprometer las redes Wi-Fi.
I-Soon y la policía china están investigando cómo se filtraron los archivos, dijeron los dos empleados de I-Soon a The Associated Press. Uno de los empleados dijo que I-Soon celebró una reunión el miércoles sobre la fuga y les dijeron que no afectaría demasiado el negocio y que “seguirían trabajando con normalidad”. La AP no nombra a los empleados (que sí proporcionaron sus apellidos, según la práctica común china) por temor a posibles represalias.
Se desconoce el origen de la fuga. El Ministerio de Relaciones Exteriores chino no respondió de inmediato a una solicitud de comentarios.
UNA FUGA ALTAMENTE IMPACTANTE
Jon Condra, analista de Recorded Future, una empresa de ciberseguridad, la calificó como la filtración más importante jamás relacionada con una empresa “sospechosa de proporcionar ciberespionaje y servicios de intrusión dirigidos a los servicios de seguridad chinos”. Dijo que las organizaciones a las que se dirige I-Soon (según el material filtrado) incluyen gobiernos, empresas de telecomunicaciones en el extranjero y empresas de juegos de azar en línea dentro de China.
Hasta la filtración de 190 megabytes, el sitio web de I-Soon incluía una página que enumeraba clientes encabezados por el Ministerio de Seguridad Pública e incluía 11 oficinas de seguridad a nivel provincial y unos 40 departamentos de seguridad pública municipales.
Otra página disponible hasta las primeras horas del martes anunciaba capacidades avanzadas de “ataque y defensa” contra amenazas persistentes, utilizando el acrónimo APT, uno que la industria de la ciberseguridad emplea para describir a los grupos de hackers más sofisticados del mundo. Los documentos internos de la filtración describen las bases de datos de I-Soon con datos pirateados recopilados de redes extranjeras en todo el mundo que se anuncian y venden a la policía china.
El sitio web de la compañía estuvo completamente fuera de línea el martes más tarde. Un representante de I-Soon rechazó una solicitud de entrevista y dijo que la compañía emitiría una declaración oficial en una fecha futura no especificada.
I-Soon se fundó en Shanghai en 2010, según registros corporativos chinos, y tiene filiales en otras tres ciudades, incluida una en la ciudad de Chengdu, en el suroeste del país, que es responsable de la piratería informática, la investigación y el desarrollo, según diapositivas internas filtradas.
La filial de I-Soon en Chengdu estuvo abierta como de costumbre el miércoles. Linternas rojas del Año Nuevo Lunar se mecían con el viento en un callejón cubierto que conducía al edificio de cinco pisos que alberga las oficinas de I-Soon en Chengdu. Los empleados entraban y salían, fumando cigarrillos y bebiendo café para llevar afuera. En el interior, carteles con el emblema del martillo y el palo del Partido Comunista presentaban lemas que decían: “Salvaguardar el Partido y los secretos del país es el deber de todo ciudadano”.
Las herramientas de I-Soon parecen ser utilizadas por la policía china para frenar la disidencia en las redes sociales extranjeras e inundarlas con contenido pro-Beijing. Las autoridades pueden vigilar directamente las plataformas de redes sociales chinas y ordenarles que eliminen las publicaciones antigubernamentales. Pero carecen de esa capacidad en sitios extranjeros como Facebook o X, donde millones de usuarios chinos acuden en masa para evadir la vigilancia y la censura estatales.
“Hay un enorme interés en el seguimiento de las redes sociales y en los comentarios por parte del gobierno chino”, dijo Mareike Ohlberg, investigadora principal del Programa Asia del Fondo Marshall Alemán. Ella revisó algunos de los documentos.
Para controlar la opinión pública y prevenir el sentimiento antigubernamental, dijo Ohlberg, el control de los puestos críticos a nivel nacional es fundamental. “Las autoridades chinas”, dijo, “tienen un gran interés en rastrear a los usuarios que residen en China”.
La fuente de la filtración podría ser “un servicio de inteligencia rival, un interno insatisfecho o incluso un contratista rival”, dijo el analista jefe de amenazas John Hultquist de la división de ciberseguridad Mandiant de Google. Los datos indican que los patrocinadores de I-Soon también incluyen al Ministerio de Seguridad del Estado y al ejército de China, el Ejército Popular de Liberación, dijo Hultquist.
MUCHOS OBJETIVOS, MUCHOS PAÍSES
Un borrador de contrato filtrado muestra que I-Soon estaba comercializando soporte técnico “antiterrorista” a la policía de Xinjiang para rastrear a los uigures nativos de la región en Asia central y sudoriental, alegando que tenía acceso a datos pirateados de aerolíneas, celulares y gobiernos de países como Mongolia y Malasia. , Afganistán y Tailandia. No está claro si el contacto fue firmado.
“Vemos muchos ataques contra organizaciones relacionadas con minorías étnicas: tibetanos, uigures. Gran parte de los ataques a entidades extranjeras se pueden ver a través de la lente de las prioridades de seguridad interna del gobierno”, dijo Dakota Cary, analista de China de la firma de ciberseguridad SentinelOne.
