Des pirates informatiques auraient utilisé l’outil Jian dans le but d’exploiter une faille « zero-day » sur Windows des années avant la publication d’un correctif. D’après les chercheurs, ces pirates d’origine chinoise auraient « cloné » et utilisé un exploit Windows « zero-day » volé au groupe Equation de la NSA pendant plusieurs années avant même la correction de la faille. D’après les explications de Check Point Research (CPR), cet outil était un « clone » d’un logiciel développé par le groupe Equation de l’Agence de sécurité nationale américaine (NSA), identifié par FireEye en 2015 et décrit comme « l’un des groupes de cyberattaques les plus sophistiqués au monde ».

Le groupe de pirates Shadow Brokers a publié des outils et des fichiers qui appartenaient au groupe Equation en 2017, dont quelques uns étaient utilisés dans l’exploitation de bugs inconnus dans des systèmes connus, obligeant les éditeurs à publier plusieurs correctifs urgents afin de rendre les outils d’exploitation inutilisables. Toujours en 2017, Microsoft avait aussi publié un correctif pour CVE-2017-0005, une faille « zero-day » au niveau des systèmes d’exploitation Windows XP à Windows 8 pouvant être utilisée pour l’élévation de privilèges et la compromission totale du système.

A la base, tout le monde pensait que l’outil créé pour exploiter la faille en question était l’œuvre d’un groupe APT (Advanced Persistent Threat) chinois surnommé APT31, ou aussi appelé Zirconium. Cependant, Check Point confirme maintenant que cet outil, nommé Jian, était en fait un clone d’un logiciel utilisé par Equation Group et qu’il a été activement utilisé de 2014 jusqu’à 2017 –plusieurs années avant la correction de la faille- et qu’il n’avait donc pas été développé sur mesure par des pirates chinois. D’après les chercheurs, Jian serait un clone d’« EpMe », qui a aussi été inclus dans la fuite de 2017 de Shadow Brokers « Lost in Translation » et a été « réorienté » pour attaquer des citoyens américains. L’enquête sur Jian a aussi permis de révéler un module contenant quatre exploits d’élévation de privilèges qui faisaient partie du framework de post-exploitation DanderSpritz du groupe Equation.