O scurgere de date provenită de la Knownsec, una dintre cele mai importante companii chineze de securitate cibernetică, arată că firma a acționat mult dincolo de rolul unui furnizor clasic de soluții defensive, combinând dezvoltarea de cyber-arme cu colectarea la scară largă de informații pentru a sprijini operațiuni cibernetice asociate statului.
Compania de securitate cibernetică Resecurity a anunțat că a achiziționat și analizat întregul set de documente scurse, oferind o perspectivă detaliată asupra ecosistemului cibernetic din China.
Peste 12.000 de documente clasificate de la Knownsec au fost scoase la vânzare pe un forum de pe darknet de un actor de amenințare cunoscut sub pseudonimul t1g3r, în jurul datei de 7 noiembrie 2025.
Datele au reapărut ulterior pe darknet, la finalul lunii decembrie, fiind oferite din nou spre vânzare.
Knownsec, cunoscută oficial ca Beijing Knownsec Information Technology, este o companie chineză de securitate cibernetică ce furnizează sisteme precum „Internet Aegis” și „Enterprise Digital Fortress”, precum și ZoomEye, un instrument global de scanare a vulnerabilităților și cartografiere a rețelelor, similar cu Shodan sau Censys.
Scurgerea de informații ar fi fost cauzată, cel mai probabil, de un insider, cum ar fi un angajat ostil, și nu de un atac extern. Cercetătorii suspectează existența unui conflict intern de putere în cadrul companiei.
„Knownsec pare să combine produse comerciale de securitate cu agregarea masivă de date, instrumente ofensive și o colaborare strânsă cu entități guvernamentale, de securitate publică și militare”, a transmis Resecurity.
Documentele interne arată că firma era profund implicată în activități cibernetice ofensive. Arsenalul său include malware personalizat, kituri de acces la distanță și un sistem de interceptare a conținutului emailurilor.
Knownsec a colectat, de asemenea, volume masive de date furate din mai multe țări și a supravegheat ținte din India, Coreea de Sud, Taiwan, Japonia, Vietnam, Marea Britanie și alte state.
Datele sustrase includ 95 GB de înregistrări de imigrare din India, 3 TB de jurnale de apeluri din Coreea de Sud (LG U Plus) și 459 GB de date din sectorul transporturilor din Taiwan.
„Amploarea seturilor de date, natura capabilităților demonstrate și numărul proiectelor asociate statului indică un rol compatibil cu activități de informații la nivel național, sprijin pentru operațiuni cibernetice și cartografiere a infrastructurii de rețea”, se arată în raportul Resecurity.
Guvernul chinez și presa de stat au negat că ar avea cunoștință de incident și au minimalizat situația, afirmând că Beijingul „se opune ferm și combate toate formele de atacuri cibernetice”.
Compania ar fi dezvoltat „un set sofisticat de instrumente cibernetice”, inclusiv troieni de acces la distanță (RAT) pentru Linux, Windows, macOS, iOS și Android, care permit acces persistent de la distanță.
Sistemul său de control la distanță, denumit T-Horse, viza sisteme Windows și permitea navigarea fișierelor, administrare de la distanță, monitorizarea ecranului, capturarea tastelor, extragerea de credențiale, funcționarea offline și notificări privind starea online sau offline.
Conform specificațiilor, serviciul, oferit pe bază de abonament anual, putea evita detectarea de către peste 40 de soluții antivirus majore și firewall-uri de tip host-based.
Un alt „produs”, numit Un-Mail, era o soluție de exfiltrare a datelor din conturi de email compromise, atât de la furnizori chinezi, cât și străini. Acesta utiliza vulnerabilități de tip cross-site scripting (XSS) pentru a colecta date de autentificare și alte informații.
„Cunoscând contul de email, parola și informațiile despre cookie-uri, sistemul poate monitoriza non-stop emailurile țintei”, a constatat Resecurity.
Cercetătorii au descoperit și faptul că firma construia o „bază de date cu ținte de infrastructură critică”, care conținea informații despre dispozitivele de rețea expuse public și vulnerabilitățile cunoscute ale acestora.
Knownsec selectase 24.241 de ținte, peste 378 de milioane de adrese IP asociate și aproape 3,5 milioane de domenii, cu prioritate ridicată pentru sectoare precum apărare, industria de armament, guvern, partide politice, energie, transporturi, telecomunicații, media, finanțe, sănătate și educație.
Majoritatea datelor erau asociate cu SUA, Canada, Japonia și Rusia.
Scurgerea de informații mai dezvăluie legăturile Knownsec cu structurile de securitate publică: armata chineză, poliția, agenții guvernamentale și alte organizații figurau printre clienții activi ai companiei.
Instrumentul ZoomEye ar fi fost folosit abuziv intern pentru a furniza date de recunoaștere în liste dedicate, vizând infrastructuri de telecomunicații din străinătate, inclusiv în operațiuni orientate împotriva Taiwanului.
Documentele scurse au expus și listele interne de personal ale Knownsec, structura organizațională, locațiile și detalii despre mai multe filiale, precum și legături cu companii afiliate și alte echipe implicate în operațiuni cibernetice.
