Volgens de aanklacht zouden Guan en zijn mede-samenzweerders in 2020 malware hebben ontwikkeld, getest en ingezet die misbruik maakte van een zero-day-kwetsbaarheid in ongeveer 81.000 Sophos-firewalls wereldwijd, inclusief die binnen organisaties in het noordelijke district van Indiana.
Deze kwetsbaarheid, later geïdentificeerd als CVE-2020-12271, werd gebruikt om de beoogde systemen in gevaar te brengen.
De malware is speciaal ontworpen om gevoelige informatie uit de firewalls te halen. Om hun activiteiten te verdoezelen, zouden Guan en zijn mede-samenzweerders domeinen hebben geregistreerd en gebruikt die de officiële sites van Sophos nabootsten, zoals sophosfirewallupdate(dot)com.
