El Departamento de Justicia acusa a 12 piratas informáticos contratados por China y a agentes de las fuerzas del orden en campañas globales de intrusión informática

 El Departamento de Justicia acusa a 12 piratas informáticos contratados por China y a agentes de las fuerzas del orden en campañas globales de intrusión informática

https://www.justice.gov/opa/pr/justice-department-charges-12-chinese-contract-hackers-and-law-enforcement-officers-global

Today, the FBI and @TheJusticeDept announced the indictments of twelve Chinese nationals for widespread computer intrusion campaigns. Their targets included U.S.-based critics of the Chinese Communist Party and the U.S. Department of the Treasury: https://t.co/2CxLodCvsN pic.twitter.com/BUkal5WyD0

— FBI (@FBI) March 5, 2025

 Los servicios de inteligencia y de aplicación de la ley chinos aprovecharon el ecosistema imprudente e indiscriminado de piratas informáticos a sueldo de China, incluido el grupo «APT 27», para reprimir la libertad de expresión y la disidencia a nivel mundial y robar datos de numerosas organizaciones en todo el mundo.

 El Departamento de Justicia, el FBI, el Servicio de Investigación Criminal Naval y los Departamentos de Estado y del Tesoro anunciaron hoy sus esfuerzos coordinados para interrumpir y disuadir las actividades cibernéticas maliciosas de 12 ciudadanos chinos, incluidos dos funcionarios del Ministerio de Seguridad Pública (MPS) de la República Popular China (RPC), empleados de una empresa china aparentemente privada, Anxun Information Technology Co. Ltd. (安洵信息技术有限公司) también conocida como “i-Soon”, y miembros de Advanced Persistent Threat 27 (APT27).

Estos actores cibernéticos maliciosos, actuando como autónomos o como empleados de i-Soon, llevaron a cabo intrusiones informáticas bajo la dirección del MPS y el Ministerio de Seguridad del Estado (MSS) de la RPC y por iniciativa propia. El MPS y el MSS pagaron generosamente por los datos robados. Entre las víctimas se incluyen críticos y disidentes de la República Popular China radicados en Estados Unidos, una gran organización religiosa de Estados Unidos, los ministerios de Asuntos Exteriores de varios gobiernos de Asia y agencias gubernamentales federales y estatales de Estados Unidos, incluido el Departamento del Tesoro de Estados Unidos (Tesoro) a fines de 2024.

 “El Departamento de Justicia perseguirá sin descanso a quienes amenacen nuestra ciberseguridad robando a nuestro gobierno y a nuestro pueblo”, dijo Sue J. Bai, jefa de la División de Seguridad Nacional del Departamento de Justicia. “Hoy, estamos exponiendo a los agentes del gobierno chino que dirigen y fomentan ataques indiscriminados e imprudentes contra computadoras y redes en todo el mundo, así como a las empresas facilitadoras y a los piratas informáticos individuales que han desatado. Seguiremos luchando para desmantelar este ecosistema de mercenarios cibernéticos y proteger nuestra seguridad nacional”.

“El FBI está comprometido a proteger a los estadounidenses de los ciberataques extranjeros”, dijo el subdirector Bryan Vorndran de la División Cibernética del FBI. “Los anuncios de hoy revelan que el Ministerio de Seguridad Pública chino ha estado pagando a piratas informáticos a sueldo para infligir daño digital a los estadounidenses que critican al Partido Comunista Chino (PCCh). A las víctimas que valientemente presentaron pruebas de intrusiones, les agradecemos por mantenerse firmes y defender nuestra democracia. Y a aquellos que eligen ayudar al PCCh en sus actividades cibernéticas ilegales, estos cargos deberían demostrar que utilizaremos todas las herramientas disponibles para identificarlos, acusarlos y exponer su actividad maliciosa para que todo el mundo la vea”.

Según los documentos judiciales, el MPS y el MSS emplearon una extensa red de empresas privadas y contratistas en China para piratear y robar información de una manera que oscurecía la participación del gobierno de la República Popular de China. En algunos casos, el MPS y el MSS pagaron a piratas informáticos privados en China para que explotaran a víctimas específicas. En muchos otros casos, los piratas informáticos apuntaron a las víctimas de manera especulativa. Operando desde su refugio seguro y motivada por el beneficio, esta red de empresas privadas y contratistas en China tendió una amplia red para identificar computadoras vulnerables, explotar esas computadoras y luego identificar información que podría vender directa o indirectamente al gobierno de la República Popular de China. El resultado de este enfoque en gran medida indiscriminado fue más víctimas de intrusión informática en todo el mundo, más sistemas en todo el mundo vulnerables a la futura explotación por parte de terceros y más información robada, a menudo sin interés para el gobierno de la República Popular de China y, por lo tanto, vendida a otros terceros. Información adicional sobre las acusaciones y el ecosistema de hackers a sueldo de la PRC está disponible en los Anuncios de Servicio Público publicados por el FBI hoy.

Estados Unidos contra Wu Haibo et al., Distrito Sur de Nueva York

Hoy, un tribunal federal en Manhattan hizo pública una acusación formal que acusa a ocho empleados de i-Soon y dos oficiales de MPS por su participación, al menos desde alrededor de 2016 hasta alrededor de 2023, en el hackeo numeroso y generalizado de cuentas de correo electrónico, teléfonos celulares, servidores y sitios web. El Departamento también anunció hoy la confiscación autorizada por el tribunal del dominio principal de Internet utilizado por i-Soon para publicitar su negocio.

“El hackeo patrocinado por el estado es una amenaza grave para nuestra comunidad y la seguridad nacional”, dijo el fiscal federal interino Matthew Podolsky para el Distrito Sur de Nueva York. “Durante años, estos 10 acusados ​​—dos de los cuales, según alegamos, son funcionarios de la República Popular de China— utilizaron sofisticadas técnicas de piratería informática para atacar a organizaciones religiosas, periodistas y agencias gubernamentales, todo con el fin de recopilar información confidencial para el uso de la República Popular de China. Estos cargos ayudarán a detener a estos piratas informáticos patrocinados por el Estado y a proteger nuestra seguridad nacional. Los fiscales de carrera de esta oficina y nuestros socios en la aplicación de la ley seguirán descubriendo supuestos esquemas de piratería informática patrocinados por el Estado, desmantelándolos y llevando a los responsables ante la justicia”.

Los acusados ​​siguen en libertad y son buscados por el FBI. Simultáneamente con el anuncio de hoy, el programa Rewards for Justice (RFJ) del Departamento de Estado de los EE. UU., administrado por el Servicio de Seguridad Diplomática, anunció una recompensa de hasta 10 millones de dólares
por información que conduzca a la identificación o ubicación de cualquier persona que, mientras actúa bajo la dirección o el control de un gobierno extranjero, participe en determinadas actividades cibernéticas maliciosas contra la infraestructura crítica de los EE. UU. en violación de la Ley de Fraude y Abuso Informático. La recompensa se ofrece para las siguientes personas que presuntamente trabajaron en diversas capacidades para dirigir o llevar a cabo la actividad cibernética maliciosa de i-Soon:

• Wu Haibo (吴海波), Chief Executive Officer
• Chen Cheng (陈诚), Chief Operating Officer
• Wang Zhe (王哲), Sales Director
• Liang Guodong (梁国栋), Technical Staff
• Ma Li (马丽), Technical Staff
• Wang Yan (王堰), Technical Staff
• Xu Liang (徐梁), Technical Staff
• Zhou Weiwei (周伟伟), Technical Staff
• Wang Liyu (王立宇), MPS Officer
• Sheng Jing (盛晶), MPS Officer

 i-Soon y sus empleados, incluidos los acusados, generaron decenas de millones de dólares en ingresos como actor clave en el ecosistema de hackers a sueldo de la República Popular China. En algunos casos, i-Soon llevó a cabo intrusiones informáticas a petición del MSS o el MPS, incluida la represión transnacional habilitada por medios cibernéticos por orden de los agentes del MPS acusados. En otros casos, i-Soon llevó a cabo intrusiones informáticas por iniciativa propia y luego vendió, o intentó vender, los datos robados a al menos 43 oficinas diferentes del MSS o el MPS en al menos 31 provincias y municipios separados de China. i-Soon cobró al MSS y al MPS entre aproximadamente 10.000 y 75.000 dólares por cada buzón de correo electrónico que explotó con éxito. i-Soon también capacitó a los empleados del MPS sobre cómo piratear independientemente de i-Soon y ofreció una variedad de métodos de piratería para vender a sus clientes.

Los objetivos de los acusados ​​en Estados Unidos incluían una gran organización religiosa que había enviado misioneros a China y que criticaba abiertamente al gobierno de la República Popular de China, y una organización centrada en la promoción de los derechos humanos y la libertad religiosa en China. Además, los acusados ​​apuntaban a múltiples organizaciones de noticias en Estados Unidos, incluidas aquellas que se han opuesto al PCCh o han entregado noticias sin censura a audiencias en Asia, incluida China y la Asamblea del Estado de Nueva York, uno de cuyos representantes se había comunicado con miembros de una organización religiosa prohibida en China.

Los objetivos de los acusados ​​en el extranjero incluían a un líder religioso y su oficina, y un periódico de Hong Kong que i-Soon consideraba opuesto al gobierno de la República Popular de China. Los acusados ​​también apuntaban a los ministerios de asuntos exteriores de Taiwán, India, Corea del Sur e Indonesia.

Los fiscales adjuntos de Estados Unidos Ryan B. Finkel, Steven J. Kochevar y Kevin Mead del Distrito Sur de Nueva York y el abogado litigante Gregory J. Nicosia Jr. de la Sección de Seguridad Nacional Cibernética de la División de Seguridad Nacional están a cargo del caso.

Estados Unidos contra Yin Kecheng y Estados Unidos contra Zhou Shuai et al., Distrito de Columbia

Hoy, un tribunal federal hizo públicos dos escritos de acusación contra Yin Kecheng (尹可成) y Zhou Shuai (周帅), actores de APT27, también conocidos como “Coldface”, por su participación en campañas de intrusión informática con fines de lucro que duraron varios años y que, en el caso de Yin, se remontan a 2013. El Departamento también anunció hoy la autorización judicial de confiscaciones de dominios de Internet y cuentas de servidores informáticos utilizados por Yin y Zhou para facilitar su actividad de piratería informática.

Los acusados ​​siguen en libertad. Vea los carteles de búsqueda del FBI para Shuai y Kecheng aquí.

Al mismo tiempo que el anuncio de hoy, la Oficina de Asuntos Internacionales de Narcóticos y Aplicación de la Ley del Departamento de Estado anuncia dos ofertas de recompensa
en el marco del Programa de Recompensas contra el Crimen Organizado Transnacional (TOCRP, por sus siglas en inglés) de hasta 2 millones de dólares cada una por información que conduzca al arresto y condena, en cualquier país, de los actores cibernéticos maliciosos Yin Kecheng y Zhou Shuai, ambos ciudadanos chinos que residen en China.

“Estas acusaciones y acciones demuestran el compromiso de larga data de esta oficina de investigar enérgicamente y hacer responsables a los piratas informáticos y corredores de datos chinos que ponen en peligro la seguridad nacional de Estados Unidos y a otras víctimas en todo el mundo”, dijo el fiscal federal interino Edward R. Martin Jr. para el Distrito de Columbia. “Los acusados ​​en estos casos han estado pirateando para el gobierno chino durante años, y estas acusaciones exponen pruebas contundentes que muestran sus delitos. Nuevamente exigimos que el gobierno chino ponga fin a estos descarados cibercriminales que están apuntando a víctimas en todo el mundo y luego monetizando los datos que han robado vendiéndolos en China”.

El grupo APT27 al que pertenecen Yin y Zhou también es conocido por los investigadores de seguridad del sector privado como “Threat Group 3390”, “Bronze Union”, “Emissary Panda”, “Lucky Mouse”, “Iron Tiger”, “UTA0178”, “UNC 5221” y “Silk Typhoon”. Como se alega en los documentos judiciales, entre agosto de 2013 y diciembre de 2024, Yin, Zhou y sus co-conspiradores explotaron vulnerabilidades en las redes de las víctimas, realizaron reconocimientos una vez dentro de esas redes e instalaron malware, como el malware PlugX, que proporcionó acceso persistente. Los acusados ​​y sus co-conspiradores luego identificaron y robaron datos de las redes comprometidas exfiltrándolos a servidores bajo su control. Luego, negociaron los datos robados para su venta y se los proporcionaron a varios clientes, solo algunos de los cuales tenían conexiones con el gobierno y el ejército de la República Popular China. Por ejemplo, Zhou vendió datos robados por Yin a través de i-Soon, cuyos principales clientes, como se señaló anteriormente, eran agencias gubernamentales de la República Popular China, incluidos el MSS y el MPS.

Las motivaciones de los acusados ​​eran financieras y, como estaban motivados por el lucro, apuntaron a una amplia gama de objetivos, dejando los sistemas de las víctimas vulnerables mucho más allá del robo de datos y otra información que podían vender. Entre ellos, Yin y Zhou intentaron sacar provecho del pirateo de numerosas empresas de tecnología, centros de estudios, bufetes de abogados, contratistas de defensa, gobiernos locales, sistemas de atención médica y universidades con sede en Estados Unidos, dejando tras de sí una estela de millones de dólares en daños.

Los documentos relacionados con las órdenes de incautación, también revelados hoy, alegan además que Yin y Zhou continuaron participando en actividades de piratería, incluida la participación de Yin en el recientemente anunciado hackeo del Tesoro entre aproximadamente septiembre y diciembre de 2024. Los servidores privados virtuales utilizados para llevar a cabo la intrusión en el Tesoro pertenecían a una cuenta que Yin y sus co-conspiradores establecieron y estaban controlados por ella. Yin y sus cómplices utilizaron esa misma cuenta y otras cuentas vinculadas que controlaban para alquilar servidores utilizados para actividades cibernéticas maliciosas adicionales. La orden de incautación revelada hoy permitió al FBI incautar los servidores privados virtuales y otra infraestructura utilizada por los acusados ​​para perpetrar estos delitos.

El 17 de enero, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro anunció sanciones
contra Yin por su papel en el pirateo de esa agencia entre septiembre y diciembre de 2024. Simultáneamente con las acusaciones de hoy, la OFAC también anunció

sanciones a Zhou y Shanghai Heiying Information Technology Company Ltd., una empresa operada por Zhou para fines de su actividad de piratería.

Los socios del sector privado también están tomando medidas voluntarias para crear conciencia y fortalecer las defensas contra la actividad cibernética maliciosa de la República Popular China. Hoy, Microsoft publicó una investigación

que destaca sus conocimientos únicos y actualizados sobre las tácticas, técnicas y procedimientos de Silk Typhoon, específicamente su objetivo en la cadena de suministro de TI.

Los fiscales adjuntos de los Estados Unidos Jack F. Korba y Tejpal S. Chawla del Distrito de Columbia y el abogado litigante Tanner Kroeger de la Sección de Seguridad Nacional Cibernética de la División de Seguridad Nacional están a cargo del caso.

***

Las acciones disruptivas antes mencionadas dirigidas a las actividades cibernéticas maliciosas de la República Popular de China fueron el resultado de las investigaciones realizadas por las Oficinas de Campo del FBI en Nueva York y Washington, la División Cibernética del FBI y el Servicio de Investigación Criminal Naval. Las Fiscalías de los Estados Unidos para el Distrito Sur de Nueva York y el Distrito de Columbia y la Sección de Seguridad Nacional Cibernética de la División de Seguridad Nacional están a cargo del caso.

El Departamento reconoce el valor de las asociaciones público-privadas para combatir las amenazas cibernéticas avanzadas y reconoce a Microsoft, Volexity, PwC y Mandiant por su valiosa asistencia en estas investigaciones.