De Amerikaanse autoriteiten hebben twee mannen uit China aangeklaagd voor het inbreken op de systemen van honderden bedrijven, overheidsinstellingen, organisaties, dissidenten en activisten wereldwijd, waaronder twee Nederlandse ondernemingen. De inbraken begonnen in september 2009 en vinden nog altijd plaats, aldus de aanklacht (pdf).

Volgens de Amerikaanse autoriteiten zijn de twee verdachten klasgenoten die samen een opleiding elektrotechniek volgden (pdf). Om bij slachtoffers in te breken maakten ze gebruik van bekende kwetsbaarheden in webserversoftware, webapplicatieontwikkelsoftware zoals Adobe ColdFusion en collaboration software. Ook werd er misbruik gemaakt van onveilige configuraties in veel gebruikte applicaties. Om welke applicaties het precies gaat laat de aanklacht niet weten.

De aanvallen waren tegen bedrijven in allerlei sectoren en industrieën gericht, waaronder zonne-energie, farmacie, medische, civiele en industriële apparatenbouw, defensiebedrijven, onderwijsinstellingen en videogaming. Zodra de verdachten toegang tot een webserver hadden installeerden ze een webshell. Via een webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren.

Vervolgens werd software geïnstalleerd om wachtwoorden en andere data te stelen. De aanvallers maakten vaak gebruik van de prullenbak op besmette systemen om gestolen data en malware te verbergen. Volgens de aanklacht hebben de verdachten terabytes aan data buitgemaakt, waaronder informatie over militaire draadloze netwerken en communicatiesystemen, lasersystemen, helikopterintegratiesystemen voor schepen, in ontwikkeling zijnde medicijnen en wetenschappelijk onderzoek, maar ook inloggegevens van de persoonlijke e-mailaccounts van dissidenten.

Eén keer werd een slachtoffer met de gestolen data afgeperst. Als het bedrijf niet zou betalen dreigden de verdachten de gestolen broncode openbaar te maken. De verdachten voerden de aanvallen uit voor persoonlijk gewin, alsmede voor de Chinese overheid, zo stellen de Amerikaanse autoriteiten. Aangevallen bedrijven bevinden zich in de VS, België, Duitsland, Japan, Zuid-Korea, Zweden, het Verenigd Koninkrijk en ook Nederland.

De eerste Nederlandse onderneming werd in februari 2016 aangevallen. Het gaat om een "groot elektronicabedrijf" waarvan het netwerk werd gecompromitteerd. Of de aanvallers ook data hebben buitgemaakt is niet bekendgemaakt. Het enige dat de aanklacht over deze aanval laat weten is dat aanvallers een webshell installeerden, waarbij twee subdomeinen van het bedrijf worden genoemd.

Het netwerk van het tweede Nederlandse bedrijf was van februari 2019 tot juli 2019 door de verdachten gecompromitteerd, aldus de aanklacht. Het gaat om een niet nader genoemd ingenieursbureau waar er ook een webshell op de webserver werd geïnstalleerd. Wederom wordt niet vermeld of er ook data is buitgemaakt.