Plus d’un après le leak d’I-Soon, cette fuite de données dévoilant les coulisses du cyberespionnage chinois, la justice américaine jette un nouveau coup de projecteur sur cette entreprise considérée comme l’un des prestataires des services de renseignement de Pékin. Plusieurs documents judiciaires viennent en effet d’être publiés à la faveur de la mise en cause de douze ressortissants chinois il y a quelques jours.
Ils montrent d’abord que l’espionnage peut être aussi un juteux business. Avec plus de cent employés, I-Soon, Anxun Information Technologies de son vrai nom, créée il y a environ quinze ans à Shanghai, visait un chiffre d’affaires de 75 millions de dollars pour 2025. Un volume atteint en vendant des accès piratés à des boîtes de messagerie de 10 000 à 75 000 dollars. “I-Soon proposait également l’analyse du contenu des données volées, moyennant des frais supplémentaires”, précise aussi la justice américaine.
Autant de piratages menés à partir de 2016 à la demande des clients d’I-Soon, une quarantaine d’agences gouvernementales. Mais également à la propre initiative de l’entreprise, qui aurait ainsi proposé a posteriori des accès volés à ses clients. Ces attaques informatiques étaient désignées pudiquement comme des tests d’intrusion dans les documents internes de l’entreprise, affirme la justice américaine.
Vulnérabilités et solutions offensives
Pour obtenir ces accès frauduleux, les employés d’I-Soon auraient eu accès à des vulnérabilités zero-day, ces failles non corrigées, ou des portails pour cloner des sites web ou craquer des mots de passe. L’entreprise vendait d’ailleurs des solutions pour cibler des services précis, comme les messageries Outlook et Gmail. Elle pouvait par exemple, en cas de clic sur un lien d’hameçonnage dédié au réseau social X, prendre le contrôle d’un compte et contourner l’authentification à double facteur.
Mais ses pirates seraient passés aussi par des techniques plus classiques de hameçonnage ciblé. L’un des manuels de l’entreprise aurait enjoint par exemple à ne pas faire d’envoi groupé ou d’attendre plusieurs messages avant d’envoyer le lien malveillant.
Pour pirater la Defense Intelligence Agency, une agence de renseignement militaire américaine, les hackers d’I-Soon seraient ainsi passés à l’automne 2017 par une campagne de hameçonnage ciblée. Elle renvoyait les employés visés vers un faux site de leur agence destiné à voler leurs informations d’identification.
Primes de plusieurs millions de dollars
Autres exemples signalés par la justice américaine: le piratage du Trésor américain, à la fin de l’année 2024, celui d’une organisation religieuse basée aux Etats-Unis ou encore celui d’un journal new-yorkais relayant la voix d’opposants chinois.
Ce dernier aurait été visé par une attaque en déni de service en décembre 2016, avant que des messageries de ses dirigeants et de journalistes ne soient compromises quelques mois plus tard, en mai. Puis l’entreprise se serait intéressée aux visiteurs du site basés en Chine, une façon d’identifier des dissidents.
Les dirigeants d’I-Soon sont désormais visés par une prime pouvant atteindre jusqu’à 10 millions de dollars pour toute information permettant de les localiser. Un chèque qui se monte à « seulement » 2 millions de dollars pour Yin Kecheng et Zhou Shuai, alias « Coldface », accusés eux d’être derrière le groupe APT -27. Outre l’intrusion sensible aux dépens du Trésor américain, ils sont soupçonnés d’avoir pillé via l’infrastructure d’I-Soon les données de nombreuses cibles américaines depuis une dizaine d’années.