Le 5 mars 2025, le département de la Justice des États-Unis, en coordination avec le FBI, le Naval Criminal Investigative Service, ainsi que les départements d’État et du Trésor, a annoncé des efforts coordonnés pour perturber et dissuader les cyberactivités malveillantes de 12 ressortissants chinois.
Parmi eux figurent deux agents du ministère chinois de la Sécurité publique (MPS), des employés d’une entreprise chinoise, Anxun Information Technology Co. Ltd. (i-Soon), ainsi que des membres du groupe APT27, également connu sous le nom de Silk Typhoon.
Une campagne d’intrusion systématique
Ces cyberacteurs, opérant en tant que freelances ou employés d’i-Soon, ont mené des intrusions informatiques à la demande du MPS et du ministère de la Sécurité d’État (MSS) chinois.
Ces attaques visaient notamment des dissidents chinois basés aux États-Unis, une grande organisation religieuse américaine, les ministères des affaires étrangères de plusieurs pays asiatiques, ainsi que des agences gouvernementales américaines, dont le département du Trésor entre septembre et décembre 2024.
Selon les documents judiciaires, le MPS et le MSS ont mis en place un réseau étendu d’entreprises privées et de sous-traitants pour mener ces activités de piratage, tout en masquant l’implication directe du gouvernement chinois.
Dans certains cas, ces agences ont payé directement des hackers pour exploiter des cibles spécifiques. Dans d’autres, ces hackers ont agi de manière opportuniste, cherchant à compromettre des systèmes vulnérables pour revendre les données collectées aux autorités chinoises ou à d’autres entités.
Une réponse judiciaire coordonnée
Une cour fédérale de Manhattan a levé le secret sur une inculpation visant huit employés d’i-Soon et deux officiers du MPS. Ces individus sont accusés d’avoir mené des cyberattaques contre des comptes de messagerie, des téléphones portables, des serveurs et des sites web, depuis au moins 2016 jusqu’en 2023. Le département de la Justice a également annoncé la saisie du principal domaine Internet utilisé par i-Soon pour promouvoir ses services.
Matthew Podolsky, procureur par intérim du district sud de New York, a déclaré que ces accusations visent à empêcher ces cyberattaques parrainées par un État et à protéger la sécurité nationale américaine. Parallèlement, le programme « Rewards for Justice » du département d’État offre jusqu’à 10 millions de dollars pour toute information menant à l’identification ou à la localisation des individus impliqués dans ces cyberactivités malveillantes.
Les inculpés comprennent notamment :
- Wu Haibo, PDG d’i-Soon
- Chen Cheng, directeur des opérations
- Wang Zhe, directeur des ventes
- Liang Guodong, Ma Li, Wang Yan, Xu Liang, Zhou Weiwei, employés techniques
- Wang Liyu et Sheng Jing, officiers du MPS
Des attaques à motivation financière
Outre leur collaboration avec les agences de renseignement chinoises, les hackers d’i-Soon ont généré des dizaines de millions de dollars en vendant des données volées à divers bureaux du MSS et du MPS à travers la Chine.
Ils facturaient entre 10 000 et 75 000 dollars par boîte mail compromise. En parallèle, i-Soon formait également des employés du MPS aux techniques de piratage.
Parmi les cibles figurent une grande organisation religieuse américaine critique du gouvernement chinois, un organisme de défense des droits humains en Chine, ainsi que plusieurs médias américains couvrant des sujets sensibles pour Pékin.
À l’international, le groupe a également ciblé des institutions telles que les ministères des affaires étrangères de Taïwan, de l’Inde, de la Corée du Sud et de l’Indonésie.
Les inculpations de Yin Kecheng et Zhou Shuai
Dans une affaire distincte, une cour fédérale du district de Columbia a également inculpé Yin Kecheng et Zhou Shuai, affiliés au groupe APT27, pour une série de campagnes d’intrusion s’étalant sur plusieurs années, avec des motivations essentiellement financières. Ils auraient vendu les données exfiltrées à diverses entités, y compris des agences gouvernementales chinoises.
Les documents judiciaires révèlent que ces hackers ont exploité des vulnérabilités dans des réseaux de victimes pour mener des reconnaissances avancées, installer des logiciels malveillants comme PlugX, puis exfiltrer des données sensibles vers des serveurs sous leur contrôle. Ils auraient ciblé des entreprises technologiques américaines, des groupes de réflexion, des cabinets d’avocats, des sous-traitants de la défense, des administrations locales, des systèmes de santé et des universités, causant des millions de dollars de pertes.
En janvier 2025, le département du Trésor a sanctionné Yin Kecheng pour son rôle dans le piratage du département du Trésor américain entre septembre et décembre 2024. Aujourd’hui, ces mesures sont étendues à Zhou Shuai ainsi qu’à Shanghai Heiying Information Technology Company Ltd., une société exploitée par Zhou à des fins de cybercriminalité.
Une riposte des acteurs privés
En parallèle, des entreprises du secteur privé participent activement à la lutte contre ces cybermenaces. Microsoft a publié des recherches détaillant les techniques et tactiques de Silk Typhoon, notamment ses attaques contre la chaîne d’approvisionnement informatique.
Les autorités américaines appellent à une vigilance accrue face aux cyberactivités malveillantes orchestrées par des groupes liés au gouvernement chinois. Elles réaffirment leur engagement à poursuivre et exposer ces acteurs, tout en protégeant les infrastructures critiques des États-Unis et leurs partenaires internationaux.
Les inculpés restent en fuite, et les enquêtes se poursuivent…
Source :
- Federal Bureau of Investigation (FBI)
- National Security Division (NSD)
- USAO – District of Columbia
- USAO – New York, Southern
- Département de la Justice des États-Unis
