Secondo l’accusa, nel 2020, Guan e i suoi cospiratori avrebbero sviluppato, testato e distribuito malware che sfruttava una vulnerabilità zero-day in circa 81.000 firewall Sophos in tutto il mondo, compresi quelli all’interno di organizzazioni nel distretto settentrionale dell’Indiana.
Questa vulnerabilità, successivamente identificata come CVE-2020-12271, è stata utilizzata per compromettere i sistemi presi di mira.
Il malware è stato specificamente progettato per estrarre informazioni sensibili dai firewall. Per oscurare le loro operazioni, Guan e i suoi cospiratori avrebbero registrato e utilizzato domini che imitavano i siti ufficiali di Sophos, come sophosfirewallupdate(punto)com.
