In een steeds meer genetwerkte wereld wordt cyberspionage een steeds grotere bedreiging. Een onlangs gepubliceerd document van de Duitse federale dienst voor de bescherming van de grondwet (BfV) werpt licht op de structuren en procedures van de APT-eenheden van het Chinese bedrijf i-Soon. Dit document, deel 1 van de 4-delige serie “CYBER INSIGHT”, biedt de eerste waardevolle inzichten in de methoden en strategieën achter de industrialisering van cyberspionage. Er zijn nu vier delen met diepgaande inzichten.
Inleiding: Wat is er allemaal gebeurd bij I-Soon?
Op 16 februari 2024 werden explosieve gegevens gepubliceerd op GitHub die de banden onthulden tussen i-Soon en Chinese inlichtingendiensten. Deze lekken bevatten meer dan 570 bestanden, waaronder presentaties, chatgeschiedenissen en schermafbeeldingen van gecompromitteerde gegevens. De i-Soon lekken bieden een verontrustend inzicht in de industrialisatie van cyberspionage: de analyse van deze gegevens laat zien hoe privaat georganiseerde bedrijven cyberaanvallen uitvoeren namens de staat, een praktijk die bekend staat als de industrialisatie van cyberspionage.
Het bedrijf i-Soon
i-Soon, opgericht in 2010, heeft zijn hoofdkantoor in Shanghai en kantoren in 32 andere provincies in China. Als cyberbeveiligingsbedrijf is i-Soon niet alleen verantwoordelijk voor de verdediging tegen aanvallen van hackers, maar voert het ook zelf aanvallen uit namens de Chinese overheid. De oprichter van i-Soon, een voormalig lid van het “Groene Korps”, heeft een uitgebreid netwerk opgebouwd van cyberbeveiligingsbedrijven die nauw samenwerken met de Chinese veiligheidsdiensten.
Structuur en procedure van de APT-eenheden
De lekken geven een zeldzaam inzicht in de organisatie en werkwijze van i-Soon. De APT-eenheden van het bedrijf bestaan uit meer dan 70 mensen, verdeeld over drie hoofdteams: het “Security Research Team”, de “Penetration Teams” en het “Basic Support Team”. Deze teams werken samen om complexe en gerichte cyberaanvallen uit te voeren.
Diensten van i-Soon
i-Soon biedt een scala aan diensten die zijn afgestemd op de behoeften van haar klanten:
- Doelwitpenetratiediensten: Deze diensten richten zich op netwerken van overheidsorganisaties en -instanties om gevoelige gegevens te extraheren.
- Gevechtsondersteuningsdiensten: Ondersteuning tijdens actieve cyberaanvallen om de effectiviteit te maximaliseren.
- Inlichtingendiensten: Informatie verkrijgen en analyseren ter ondersteuning van cyberoperaties.
De aanpak van i-Soon voor het uitvoeren van hackingcampagnes is goed gestructureerd en bestaat uit verschillende stappen, van het selecteren van de doelwitten tot het organiseren van de aanvallen en het ondersteunen van klanten tijdens en na de aanvallen.
i-Soon en het Chinese cyber-ecosysteem
De lekken onthullen ook de rol van i-Soon binnen het Chinese cyberecosysteem. Dit netwerk omvat verschillende sectoren die nauw verweven zijn met door de staat gesponsorde cyberspionage. i-Soon voert niet alleen cyberoperaties uit namens klanten, maar genereert ook zelfstandig informatie om deze met winst door te verkopen.
Inzicht in het Chinese cyberlandschap
De gegevens geven een uitgebreid inzicht in de complexiteit en omvang van het Chinese cyber-ecosysteem. Ondanks zijn omvang is i-Soon slechts een middelgroot bedrijf binnen een bloeiende industrie in China, maar het is in staat om talrijke aanvalsoperaties tegelijkertijd uit te voeren. Dit toont het hoge technische niveau en de efficiëntie van de Chinese cyberbeveiligingsindustrie.
Integratie in het nationale kwetsbaarheidsmijnprogramma
i-Soon is geïntegreerd in het nationale vulnerability mining programma van de Volksrepubliek China en werkt samen met de “China National Vulnerability Database” (CNNVD). Volgens de Chinese regelgeving moeten bedrijven ontdekte kwetsbaarheden binnen 48 uur melden bij de centrale beveiligingsautoriteiten. Deze informatie is dan beschikbaar voor de relevante actoren voor mogelijke offensieve cyberoperaties. i-Soon treedt op als technische partner en levert kwetsbaarheidsanalyses op niveau 3, zodat nieuwe kwetsbaarheden voortdurend worden doorgegeven.
Training en certificering
Het bedrijf runt het “Anxun College”, dat elk jaar meer dan 3.000 studenten opleidt in cyberoperaties. Dit instituut dient voor de ontwikkeling van gekwalificeerde cyberexperts die een cruciale rol spelen in China’s cyberbeveiligingsstrategie. Het curriculum omvat zowel zelfstudie als praktijklessen en wedstrijden. Hierbij worden getalenteerde mensen voor i-Soon geworven en klaargestoomd voor cyberactiviteiten bij de overheid of op commerciële basis. De vele certificeringen van het bedrijf kwalificeren het voor verschillende veiligheidsgevoelige taken en benadrukken de vertrouwenspositie die i-Soon bij de overheid geniet.
i-Soon: Verbindingen met de Chinese staat en het Chinese cyber-ecosysteem
i-Soon heeft nauwe personele en structurele banden met de Chinese staat en de nationale hackerscene. Een uitgelekte lijst van zogenaamde “medewerkers voor vertrouwelijke inhoud” geeft gedetailleerde informatie over de interne werkgebieden en documenteert de vereisten voor het personeel. Opvallend is dat het lidmaatschap van de Chinese Communistische Partij (CCP) er ook op vermeld staat – een indicator van ideologische verbondenheid en politieke controle binnen het bedrijf. Het gebrek aan familiecontacten in het buitenland lijkt ook een stilzwijgend uitsluitingscriterium te zijn.
De betrokkenheid van i-Soon bij China’s nationale kwetsbaarhedenonderzoek onthult de nauwe institutionele banden met het veiligheidsapparaat: het bedrijf staat geregistreerd als technisch ondersteuner in de “China National Vulnerability Database” (CNNVD) – een door de staat gecontroleerd kwetsbaarhedenregister dat ook gerichte informatie verstrekt aan offensieve cyberactoren. i-Soon moet elk jaar aan bepaalde eisen voldoen om zijn status als gecertificeerde partner te behouden – waaronder het rapporteren van kwetsbaarheden en het leveren van technische ondersteuningsdiensten aan de Chinese staat.
Het bedrijf beschikt ook over een opmerkelijke opleidingsinfrastructuur: i-Soon leidt elk jaar duizenden mensen op in offensieve cybervaardigheden aan zijn eigen “Anxun College”, waaronder leden van staatsinstellingen. Gerichte werving via wedstrijden en de integratie van studenten uit de publieke sector wijzen op een systematische bevordering van jong talent in het belang van de staat.
Daarnaast zijn er via oprichters en werknemers banden met bekende APT-groepen (Advanced Persistent Threats) en voormalige leden van China’s patriottische hackerscene. Veel van deze actoren hebben nu hun eigen bedrijf en werken voor staatsklanten – een bewijs van het vervagen van de grenzen tussen activiteiten in de privésector en cyberspionage onder toezicht van de staat.
i-Soon is dus een voorbeeld van een groeiend model van Chinese cyberbedrijven die opereren met medeplichtigheid en steun van de staat – economisch gemotiveerd, maar politiek verankerd. Het bedrijf opereert in een markt waarin professionele aanbieders van cyberdiensten zeer gespecialiseerde hackingtools, personeelstraining en aanvalsoperaties als pakketoplossing aanbieden – en de Chinese staat maakt in toenemende mate gebruik van deze diensten.
Economische dynamiek en effecten
De activiteiten van i-Soon illustreren de uitgebreide mogelijkheden die de Chinese staat kan benutten door samen te werken met de bloeiende cyberbeveiligingsindustrie. De diensten die i-Soon en soortgelijke bedrijven aanbieden, maken het voor de staat gemakkelijker om toegang te krijgen tot professionele cyberdiensten zonder dat er intensief gebruik hoeft te worden gemaakt van eigen middelen. Deze uitbesteding leidt tot een toenemende professionalisering van cybercampagnes en maakt het moeilijker om de spelers te identificeren. De slogan “Security is borderless” op de website van het bedrijf weerspiegelt de wereldwijde ambitie en het brede dienstenaanbod die deze samenwerking mogelijk maken.
Deze bevindingen laten zien dat het Chinese cyberbeveiligingslandschap niet alleen wordt gestructureerd door de staat, maar ook wordt gekenmerkt door strategische partnerschappen met particuliere bedrijven, wat resulteert in een complex, professioneel en moeilijk te traceren systeem. Deze industriële structuren hebben een directe invloed op de veiligheidssituatie van andere landen en roepen vragen op over de naleving van internationale cybernormen.
Geopolitieke relevantie
In zijn derde rapport over de i-Soon lekken geeft het Bundesamt für die Verfassungsschutz (BfV) ook gedetailleerd inzicht in de cyberaanvallen van het Chinese bedrijf i-Soon en hun geopolitieke relevantie. Op basis van de uitgebreide gegevens in het lek kunnen conclusies worden getrokken over specifieke doelwitten, doelregio’s en de strategische richting van de aanvallen in overeenstemming met de Chinese belangen.
Betrokken regio’s en landen
De activiteiten van i-Soon zijn opvallend gericht op geopolitiek gevoelige gebieden. De focus ligt vooral op West- en Zuidoost-Azië, met aanvallen op Hongkong, Taiwan, India, Nepal en Tibet. Ook tal van andere landen worden getroffen, waaronder Kazachstan, Maleisië, Mongolië, Kirgizië, Turkije, Pakistan, Egypte, Oeganda, Vietnam, Zuid-Korea en Afghanistan. Deze selectie weerspiegelt duidelijk de strategische belangen van de Volksrepubliek China.
De gedocumenteerde uitbreiding van de activiteiten naar Europese doelgebieden is ook opmerkelijk. Naast Frankrijk bevat het lek ook verwijzingen naar gecompromitteerde systemen met een EU connectie, waaronder documenten gelabeld met het “ZED!” (ZED! For European Union Security) – een standaard beveiligingsprocedure die wordt gebruikt door de NAVO en EU-instellingen. Andere screenshots wijzen op mogelijke aanvallen tegen Noord-Macedonië (in het kader van de onderhandelingen over toetreding tot de EU), Tsjechië (EU Ministerraad 2022) en doelen in het Verenigd Koninkrijk. Uit dit alles blijkt een aanzienlijke interesse in het verzamelen van informatie die relevant is voor het buitenlands en veiligheidsbeleid in Europa.
Specifieke doelwitten van de aanvallen
Uit het lek blijkt dat i-Soon zich voornamelijk richt op netwerken van overheidsinstellingen (meer dan 43%) en telecomproviders (ongeveer 25%). Andere getroffen sectoren zijn medische faciliteiten, energieleveranciers, onderzoeksinstellingen, religieuze organisaties en onderwijsinstellingen. Het brede scala aan doelwitten spreekt in het voordeel van strategisch gemotiveerde informatieverspreiding over verschillende sectoren van de samenleving.
De aanvalsgegevens geven een gedetailleerd inzicht in de aanpak van i-Soon: elk item bevat informatie over het doelland, het bestandstype, de bestandsgrootte, het type vastgelegde gegevens, de beschrijving van de toegang en opmerkingen van de verwerkingseenheid. Het is duidelijk dat i-Soon zijn klanten de optie biedt om te selecteren of een verdere bewerking moet plaatsvinden op basis van de voorlopige gegevensrecords. Dit “on-demand” model onderstreept de industrialisatie en servicelogica achter cyberspionage.
Een bijzonder indrukwekkend voorbeeld is het geval van een Kazachse aanbieder van telecommunicatiediensten: i-Soon levert een data-extract van 820 GB waarmee volledige toegang kan worden verkregen tot onder andere het interne intranet, bestandsservers en antivirussystemen en waarmee in realtime oproepenlogs kunnen worden opgevraagd. Een dergelijke diepgaande toegang getuigt niet alleen van technische expertise, maar ook van de bereidheid om volledige controle te krijgen over kritieke infrastructuren.
China’s geopolitieke oriëntatie en belangen
De doelwitten weerspiegelen de geopolitieke belangen van China. De focus ligt op landen als Hongkong, Thailand, Taiwan, Kazachstan en Maleisië, wat het belang van deze landen voor het verzamelen van informatie benadrukt. De compromissen zijn moeilijk te traceren omdat de actoren professioneel en onopvallend te werk gaan. Dit geeft aan dat dergelijke operaties van groot strategisch belang zijn en waarschijnlijk langetermijndoelen nastreven.
Conclusies en wereldwijde effecten
Het rapport laat zien hoe intensief particuliere bedrijven zoals i-Soon betrokken zijn bij door de staat gemotiveerde cyberoperaties en zeer professionele diensten aanbieden die de Chinese belangen dienen. Het feit dat overheidsinstanties, telecommunicatieproviders en andere kritieke sectoren het doelwit zijn, suggereert dat China particuliere actoren gebruikt om de cyberveiligheid van andere landen systematisch te verzwakken en strategisch relevante informatie te verzamelen. Het i-Soon lek illustreert dus hoe cyberspionage niet alleen wordt gebruikt als middel om informatie te verzamelen, maar ook als geopolitiek instrument.
Afbeelding van de productportefeuille
De vierde en laatste analyse van de BfV van het uitlekken van i-Soon geeft een gedetailleerd beeld van de productportefeuille en klanten van i-Soon. Deze analyse laat zien hoe goed het productaanbod van i-Soon is ontwikkeld en hoe belangrijk het is voor Chinese overheids- en veiligheidsorganisaties. De producten en diensten van i-Soon zijn gericht op overheidsklanten, particuliere bedrijven en militaire gebruikers. Dit arsenaal aan tools laat de enorme technische mogelijkheden zien die het Chinese veiligheidsapparaat kan benutten voor offensieve en defensieve cyberoperaties via private aanbieders zoals i-Soon.
Productoverzicht en technisch potentieel
Het productaanbod van i-Soon omvat een verscheidenheid aan gespecialiseerde tools, waaronder het “Integrated Combat Platform” voor het beheer van grootschalige cyberoperaties, een “Automated Penetration Testing Platform” voor geautomatiseerde beveiligingstests en een “Microsoft E-Mail Encryption Platform” voor het kraken van Microsoft mailboxen en het omzeilen van twee-factor authenticatie. Daarnaast biedt i-Soon anonimiseringstools zoals de “Anonymous Anti-Tracing Wall”, die speciaal is ontworpen om cyberoperaties te verbergen, en de “Individual (Soldier) Toolbox” – een mobiele penetratietestset met uitgebreide functies voor het manipuleren en aanvallen van doelnetwerken.
Klanten en contractstructuren
De doelgroep van i-Soon bestaat voornamelijk uit Chinese veiligheidsinstanties en inlichtingendiensten – vooral het ministerie van Openbare Veiligheid (MPS), het ministerie van Staatsveiligheid (MSS) en het Volksbevrijdingsleger (PLA). Daarnaast richt het bedrijf zich ook op spelers uit de private sector, met name andere cyberbeveiligingsbedrijven met een vergelijkbare focus. De interne indeling in vier klantgroepen (“Public Security”, “Safety”, “Military”, “Enterprise”) laat duidelijk zien dat i-Soon niet alleen aan overheidsinstellingen levert, maar ook aan commerciële partners in de cybersector.
De contractboeken onthullen specifieke inzichten in de samenwerkingsvormen: contracttitels zoals “Network Technology Service Contract”, “Technical Cooperation Agreement” of “Overseas Data Inquiry” verwijzen naar technische ondersteuningsdiensten, waaronder toegang tot e-mailaccounts, netwerkstructuren en gevoelige persoonsgegevens. De gerichte aankoop van doelgegevens (“Data Purchase Contract”) en de levering van anonimiseringsinfrastructuur (“Anti-Tracing Sales Contract”) maken ook deel uit van de dienstenportefeuille. Volgens documenten maakt de MSS in het bijzonder ook gebruik van zogenaamde “contracthackers” en anonimiseringsnetwerken voor cyberoperaties in het buitenland.
Het i-Soon productassortiment is afgestemd op de behoeften van de overheid. De aangeboden tools omvatten een “Integrated Combat Platform” voor uitgebreide cyberoperaties, geautomatiseerde penetratietests, een platform voor het compromitteren van Microsoft e-mailaccounts, systemen voor e-mailanalyse en geanonimiseerde navigatie in het heldere en darknet, evenals een mobiele “Soldier Toolbox” met offensieve aanvalsfuncties zoals webshellgebruik en pakketmanipulatie. De modulaire structuur van veel tools maakt flexibele implementatiescenario’s mogelijk – zelfs voor minder technisch ervaren gebruikers.
Over het geheel genomen bevestigt het lek een grotendeels geïndustrialiseerd bedrijfsmodel: i-Soon biedt cyberservices op maat met een hoge mate van professionalisering voor overheidsklanten – inclusief productonderhoud, gebruikerstraining, anonimisering en gegevensverwerving. Het is duidelijk dat dit geen geïsoleerd contractwerk is, maar een stevig gevestigde leveranciersstructuur in het Chinese cyber-ecosysteem.
Conclusies en wereldwijde effecten
Het uitgebreide aanbod en de modulaire structuur van veel tools laten zien dat i-Soon een breed arsenaal aan eenvoudig te gebruiken maar krachtige cybertools biedt die met name zijn geoptimaliseerd voor Chinese veiligheidsinstanties. De markt voor cyberbeveiligingsdiensten in China, waarvan de expansie wordt aangedreven door particuliere bedrijven zoals i-Soon, laat een duidelijke industrialisering van cyberspionage zien. Deze dynamiek leidt tot voortdurende innovatie en professionalisering, waardoor Chinese overheidsinstanties toegang krijgen tot op maat gemaakte cybercapaciteiten zonder de noodzaak van interne ontwikkelingsuitgaven.
Over het geheel genomen illustreren de i-Soon lekken het gevaar dat uitgaat van een cyberindustrie die wordt gerund door de particuliere sector en toch wordt gecontroleerd door de staat. Chinese veiligheidsinstanties profiteren van een systeem waarmee ze op een efficiënte en gerichte manier informatie kunnen verzamelen en wereldwijd invloed kunnen uitoefenen – en Duitse bedrijven moeten hun cyberbeveiligingsbeleid hierop afstemmen!
De i-Soon lekken zijn een voorbeeld van hoe Chinese bedrijven nationale belangen nastreven op het gebied van cyberspionage. De regionale en sectorale focus valt samen met de doelstellingen van Pekings buitenlands en veiligheidsbeleid. Tegelijkertijd benadrukt de uitbreiding naar Europese instellingen en lidstaten het mondiale karakter van de ingezette middelen – en de noodzaak om cyberveiligheid te zien als een geopolitieke kwestie.
Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.
