Según la acusación, en 2020, Guan y sus cómplices supuestamente desarrollaron, probaron e implementaron malware que aprovechó una vulnerabilidad de día cero en aproximadamente 81.000 firewalls de Sophos en todo el mundo, incluidos aquellos dentro de organizaciones del Distrito Norte de Indiana.
Esta vulnerabilidad, identificada posteriormente como CVE-2020-12271, se utilizó para comprometer los sistemas objetivo.
El malware fue diseñado específicamente para extraer información confidencial de los firewalls. Para ocultar sus operaciones, Guan y sus cómplices supuestamente registraron y utilizaron dominios que imitaban los sitios oficiales de Sophos, como sophosfirewallupdate(punto)com.
