Согласно обвинительному заключению, в 2020 году Гуан и его сообщники предположительно разработали, протестировали и развернули вредоносное ПО, которое использовало уязвимость нулевого дня примерно в 81 000 межсетевых экранах Sophos по всему миру, в том числе в организациях в Северном округе штата Индиана.
Эта уязвимость, позже идентифицированная как CVE-2020-12271, использовалась для компрометации целевых систем.
Вредоносная программа была специально разработана для извлечения конфиденциальной информации из брандмауэров. Чтобы скрыть свою деятельность, Гуан и его сообщники, как сообщается, зарегистрировали и использовали домены, имитирующие официальные сайты Sophos, такие как sophosfirewallupdate(точка)com.
