今年2月初，医疗保险企业Anthem的8000万信息泄露堪称史上最大一起医疗行业的数据泄露事件。近日美国安全企业ThreatConnect的调查报告显示，通过被窃的数据跟踪到中国一所大学的一位教授身上，而这位教授则与中国的一个国防承包商有联系。

这个调查报告是基于“开源”情报所作，其发现有技术证据显示，在Anthem数据泄露事件中使用的恶意软件与一个中国间谍组织和中国东南大学的一位教授有关，而这名教授则与一家政府承包商一起工作，这家承包商为中国知名安全企业。

ThreatConnect的首席情报官里奇·巴格尔表示，尽管“他们想尽力隐藏，但却搞砸了。”这些技术证据包括邮件地址、命令控制服务器的域名注册，以及恶意软件使用的签名证书，都指向上述三方。网络犯罪者一般都会出售偷来的数据，但至今止，几乎没有看到数据被出售的证据。

调查分析显示，泄露事件中所使用的恶意软件名为Derusbi，使用的是一家韩国软件公司的合法签名DETOPTOOLZ，而且这个签名还在Sakula和HttpBrowser/HttpDump两种恶意软件家族中使用。这三种恶意程序都与中国的高级可持续威胁（APT）攻击小组有关， 其中Sakula连接的命令控制服务器的域名是we11point.com。

另一起类似攻击的域名所有者，其邮件地址与这家知名安全企业举办过的信息安全竞赛有关。2009年维基百科上泄露的美国国防部备忘录显示，这家安全企业接收过军队方面的重大投资。