अभियोग के अनुसार, 2020 में, गुआन और उसके सह-साजिशकर्ताओं ने कथित तौर पर मैलवेयर विकसित, परीक्षण और तैनात किया, जिसने दुनिया भर में लगभग 81,000 सोफोस फ़ायरवॉल में शून्य दिन की भेद्यता का फायदा उठाया, जिसमें इंडियाना के उत्तरी जिले के संगठनों के भीतर भी शामिल थे।
यह भेद्यता, जिसे बाद में CVE-2020-12271 के रूप में पहचाना गया, का उपयोग लक्षित प्रणालियों से समझौता करने के लिए किया गया था।
मैलवेयर विशेष रूप से फ़ायरवॉल से संवेदनशील जानकारी निकालने के लिए डिज़ाइन किया गया था। अपने संचालन को अस्पष्ट करने के लिए, गुआन और उसके सह-षड्यंत्रकारियों ने कथित तौर पर ऐसे डोमेन पंजीकृत और उपयोग किए जो सोफोस की आधिकारिक साइटों की नकल करते थे, जैसे कि sophosfirewallupdate(dot)com.