Trace Id is missing

Digitale Bedrohungen aus Ostasien gewinnen an Reichweite und Effektivität

Herunterladen
Teilen
Eine Person, die vor einem Computer sitzt.

Einführung

Mehrere sich abzeichnende Trends verdeutlichen eine sich schnell verändernde Bedrohungslandschaft in Ostasien. China führt sowohl weitverbreitete Cyberoperationen als auch Desinformationskampagnen durch und nordkoreanische Cyberbedrohungsakteure werden immer raffinierter.

Erstens haben chinesische staatsnahe Cyberbedrohungsgruppen ein besonderes Augenmerk auf die Region des Südchinesischen Meeres gelegt. Ihre Cyberspionage zielt auf Regierungen und andere wichtige Einrichtungen in diesem Seegebiet ab. Gleichzeitig signalisieren Chinas gezielte Angriffe auf den US-Rüstungssektor und Analyse der US-Infrastruktur den Versuch, Wettbewerbsvorteile für Chinas Außenbeziehungen und militärstrategischen Ziele zu erlangen.

Zweitens ist China seit letztem Jahr effektiver darin, Nutzerinnen und Nutzer in sozialen Medien mit Cyberoperationen und Desinformationskampagnen (IO) in Kontakt zu bringen. Chinesische Desinformationskampagnen im Netz haben sich lange Zeit darauf verlassen, eine möglichst große Masse an Nutzerinnen und Nutzer über Netzwerke von gefälschten Konten in den sozialen Medien zu erreichen. Seit 2022 haben jedoch mit China verbündete soziale Mediennetzwerke direkt mit authentischen Nutzerinnen und Nutzern in sozialen Medien Kontakt aufgenommen. Dabei haben sie bestimmte Kandidatinnen und Kandidaten über Inhalte zu den US-Wahlen angesprochen und sich als amerikanische Wählerinnen und Wähler ausgegeben. Unabhängig davon hat Chinas staatlich geförderte mehrsprachige Influencerinnen- und Influencerinitiative in den sozialen Medien erfolgreich Zielgruppen in mindestens 40 Sprachen angesprochen und ihr Publikum auf über 103 Millionen ausgebaut.

Drittens hat China im vergangenen Jahr seine Cyberoperationen und Desinformationskampagnen (IO) weiter ausgebaut, indem es neue Sprachen und Plattformen erschlossen hat, um seine globale Präsenz zu vergrößern. In den sozialen Medien setzen die Kampagnen Tausende von gefälschten Konten auf Dutzenden von Websites ein und verbreiten Memes, Videos und Botschaften in mehreren Sprachen. In Onlinenachrichtenmedien positionieren sich die chinesischen Staatsmedien taktvoll und effektiv als die maßgebliche Stimme im internationalen Chinadiskurs. Sie nutzen dabei eine Vielzahl von Mitteln, um Medien weltweit zu beeinflussen. Eine Kampagne verbreitete Propaganda der Kommunistischen Partei Chinas (KPCh) über lokalisierte Nachrichten-Websites, die sich an die chinesische Diaspora in mehr als 35 Ländern richteten.

Obwohl Nordkorea im Gegensatz zu China kein raffinierter Einflussakteur ist, bleibt es eine ernstzunehmende Bedrohung im Internet. Nordkorea hat gezeigt, dass es ein anhaltendes Interesse an der Sammlung von Informationen und einer zunehmenden taktischen Raffinesse hat – unter anderem durch den Einsatz von kaskadenartigen Angriffen auf die Lieferkette und den Diebstahl von Kryptowährungen.

Chinas Cyberoperationen konzentrieren sich erneut auf das Südchinesische Meer und Schlüsselbranchen in den Vereinigten Staaten.

Microsoft Threat Intelligence hat seit Anfang 2023 drei Bereiche identifiziert, die für China-nahe Cyberbedrohungsakteure von besonderem Interesse sind: das Südchinesische Meer, die US-Verteidigungsindustrie und die kritische US-Infrastruktur.

Angriffe, die vom chinesischen Staat gefördert werden, umfassen strategische Ziele im Südchinesischen Meer

Chinesischen staatsnahe Bedrohungsakteure zeigen ein anhaltendes Interesse am Südchinesischen Meer und an Taiwan. Dies spiegelt sich auch in Chinas Bandbreite an wirtschaftlichen, verteidigungspolitischen und politischen Interessen in dieser Region wider.1 Widersprüchliche Gebietsansprüche, zunehmende Spannungen zwischen Taiwan und den USA sowie eine verstärkte US-Militärpräsenz können die Motivation für Chinas offensive Cyberaktivitäten sein.2

Microsoft hat es auf Raspberry Typhoon (RADIUM) abgesehen. Die primäre Bedrohungsgruppe zielt auf Länder rund um das Südchinesische Meer ab. Raspberry Typhoon nimmt konsequent Ministerien, militärische Einrichtungen und Unternehmen ins Visier, die mit kritischen Infrastrukturen, insbesondere der Telekommunikation, verbunden sind. Seit Januar 2023 ist Raspberry Typhoon besonders hartnäckig. Raspberry Typhoon führt bei Angriffen auf Ministerien oder Infrastrukturen in der Regel nachrichtendienstliche Ermittlungen durch und führt Malware aus. In vielen Ländern reichen die Ziele von Verteidigungs- und Nachrichtendienstministerien bis hin zu Wirtschafts- und Handelsministerien.

Flax Typhoon (Storm-0919) ist die bekannteste Bedrohungsgruppe, die auf die Insel Taiwan abzielt. Diese Gruppe zielt in erster Linie auf Telekommunikations-, Bildungs-, Informationstechnologie- und Energieinfrastrukturen ab, indem sie in der Regel eine benutzerdefinierte VPN-Appliance einsetzt, um direkt in das Zielnetzwerk einzudringen. In ähnlicher Weise zielt Charcoal Typhoon (CHROMIUM) auf taiwanesische Bildungseinrichtungen, Energieinfrastruktur sowie High-Tech-Produktion ab. Im Jahr 2023 nahmen sowohl Charcoal Typhoon als auch Flax Typhoon taiwanesische Luft- und Raumfahrtunternehmen ins Visier, die Verträge mit dem taiwanesischen Militär haben.

Karte der Region Südchinesisches Meer, die beobachtete Ereignisse pro Land hervorhebt
Abbildung 1: Beobachtete Ereignisse pro Land im Südchinesischen Meer von Januar 2022 bis April 2023. Erfahren Sie mehr über dieses Bild auf Seite 4 im vollständigen Bericht.

Chinesische Bedrohungsakteure richten ihre Aufmerksamkeit auf Guam, während die USA einen Stützpunkt des Marine Corps errichten.

Mehrere in China ansässige Bedrohungsgruppen zielen weiterhin auf die US-amerikanische Verteidigungsindustrie ab. Dazu gehören Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) und Mulberry Typhoon (MANGANESE). Obwohl sich die Ziele dieser drei Gruppen gelegentlich überschneiden, handelt es sich um unterschiedliche Akteure mit unterschiedlichen Infrastrukturen und Fähigkeiten.3

Circle Typhoon führt zahlreiche Cyberaktivitäten gegen die US-amerikanische Verteidigungsindustrie durch. Unter anderem entwickelt die Gruppe Ressourcen, sammelt Daten, verschafft sich Erstzugriffe und Zugang zu Anmeldeinformationen. Circle Typhoon nutzt häufig VPN-Geräte, um IT-Unternehmen und in den USA ansässige Verteidigungsunternehmen anzugreifen. Volt Typhoon hat auch zahlreiche US-Rüstungsunternehmen ausspioniert. Guam ist eines der häufigsten Ziele dieser Kampagnen, insbesondere die dort ansässigen Einrichtungen für Satellitenkommunikation und Telekommunikation.4

Eine häufige Taktik von Volt Typhoon besteht darin, kleine Büro- und Heimrouter zu kompromittieren, in der Regel mit dem Ziel, eine Infrastruktur aufzubauen.5 Mulberry Typhoon hat auch die Basis der US-amerikanischen Verteidigungsindustrie ins Visier genommen, vor allem mit einem Zero-Day-Exploit, der auf Geräte abzielt.6 Die verstärkten Angriffe auf Guam sind von großer Bedeutung, da Guam das am nächsten zu Ostasien gelegene US-Territorium ist und für die US-Strategie in der Region eine wichtige Rolle spielt.

Chinesische Bedrohungsgruppen nehmen kritische US-Infrastrukturen ins Visier

Microsoft hat in den letzten sechs Monaten beobachtet, dass chinesische staatsnahe Bedrohungsgruppen die kritische US-Infrastruktur in mehreren Sektoren ins Visier nehmen und erhebliche Ressourcen entwickeln. Volt Typhoon ist mindestens seit dem Sommer 2021 die Hauptgruppe hinter dieser Aktivität, und ihr Ausmaß ist noch immer nicht vollständig geklärt.

Zu den Zielsektoren gehören das Verkehrswesen (z. B. Häfen und Schienenverkehr), die Versorgungswirtschaft (z. B. Energie und Wasseraufbereitung), die medizinische Infrastruktur (einschließlich Krankenhäuser) und die Telekommunikationsinfrastruktur (einschließlich Satellitenkommunikation und Glasfasersysteme). Nach Schätzung von Microsoft könnte diese Kampagne China in die Lage versetzen, kritische Infrastrukturen und die Kommunikation zwischen den USA und Asien zu stören.7

Die in China ansässige Bedrohungsgruppe hat es auf etwa 25 Organisationen abgesehen, darunter auch US-Regierungsstellen

Ab dem 15. Mai verwendete der in China ansässige Bedrohungsakteur Storm-0558 gefälschte Authentifizierungstoken, um auf die E-Mail-Konten von Microsoft-Kunden von etwa 25 Organisationen zuzugreifen, darunter auch US-amerikanische und europäische Regierungsstellen.8 Microsoft hat diese Kampagne erfolgreich blockiert. Ziel des Angriffs war es, unbefugten Zugriff auf E-Mail-Konten zu erhalten. Nach Einschätzung von Microsoft entsprach diese Aktivität den Spionagezielen von Storm-0558. Storm-0558 hat bereits zuvor diplomatische Einrichtungen der USA und Europas angegriffen.

China nimmt auch seine strategischen Partner ins Visier

Während China seine bilateralen Beziehungen und globalen Partnerschaften durch die Belt and Road Initiative (BRI) ausgebaut hat, führten chinesische staatliche Bedrohungsakteure parallel dazu Cyberoperationen gegen private und öffentliche Einrichtungen auf der ganzen Welt durch. In China ansässige Bedrohungsgruppen nehmen Länder ins Visier, die mit der BRI-Strategie der KPCh übereinstimmen, darunter Einrichtungen in Kasachstan, Namibia, Vietnam und anderen Ländern.9 In der Zwischenzeit zielen weit verbreitete chinesische Bedrohungsaktivitäten immer wieder auf ausländische Ministerien in Europa, Lateinamerika und Asien ab – wahrscheinlich mit dem Ziel der Wirtschaftsspionage oder der Sammlung von Informationen. 10Während China seinen globalen Einfluss ausweitet, werden Aktivitäten der angeschlossenen Bedrohungsgruppen folgen. Erst im April 2023 hat Twill Typhoon (TANTALUM) erfolgreich Regierungscomputer in Afrika und Europa sowie humanitäre Organisationen weltweit kompromittiert.

KPCh-orientierte Aktivitäten in den sozialen Medien erhöhen die effektive Einbindung des Publikums

Es wird beobachtet, dass im Rahmen von verdeckten Desinformationskampagnen, die mit der KPCh (Kommunistische Partei Chinas) in Verbindung stehenden, nun in größerem Umfang als bisher mit Zielgruppen in sozialen Medien interagiert wird. Somit handeln sie noch raffinierter und können weitere Cyberoperationen und Desinformationskampagnen im Netz durchführen. Im Vorfeld der US-Zwischenwahlen 2022 beobachteten Microsoft sowie Branchenpartnerinnen und Branchenpartner, dass sich KPCh-zugehörige Konten in den sozialen Medien als US-Wählerinnen und -Wähler ausgaben – ein Novum für KPCh-zugehörige Cyberoperationen und Desinformationskampagnen.11 Diese Konten gaben sich als Amerikanerinnen und Amerikaner aus dem gesamten politischen Spektrum aus und reagierten auf Kommentare von authentischen Nutzerinnen und Nutzern.

Sowohl im Verhalten als auch im Inhalt zeigen diese Konten viele gut dokumentierte chinesische Cyberoperations- und Desinformations-Taktiken, -Techniken und -Verfahren (TTPs). Beispiele hierfür sind: Beiträge in der Anfangsphase auf Mandarin zu veröffentlichen, bevor zu einer andere Sprache gewechselt wird; mit Inhalten zu interagieren, die in Verbindung zu China stehen, direkt nach ihrer Veröffentlichung; Interaktionsmustern mit sogenannten Seed- und Amplifier-Konten zu verwenden.12 In früheren Desinformationskampagnen von KPCh-nahen Akteuren wurden noch leicht zu erkennende computergenerierte Handles, Anzeigenamen und Profilbilder verwendet13. Im Gegensatz dazu werden die modernen raffinierteren Konten von echten Personen betrieben, die fiktive oder gestohlene Identitäten verwenden, um die Zugehörigkeit der Konten zur KPCh zu verschleiern.

Die Konten in den sozialen Medien in diesem Netzwerk ähneln den Aktivitäten, die Berichten zufolge von einer Elitegruppe innerhalb des Ministeriums für öffentliche Sicherheit (MPS), der so genannten 912 Special Working Group, durchgeführt werden. Nach Angaben des US-Justizministeriums betrieb die Gruppe eine Trollfarm in den sozialen Medien, die Tausende von gefälschten Online-Personas erstellte und KPCh-Propaganda gegen prodemokratische Aktivistinnen und Aktivisten verbreitete.

Einige mutmaßliche Agenten chinesischer Cyberoperationen und Desinformationskampagnen haben etwa im März 2023 damit begonnen, in den westlichen sozialen Medien generative künstliche Intelligenz (KI) zur Erstellung visueller Inhalte zu nutzen. Diese relativ hochwertigen visuellen Inhalte haben bereits ein höheres Maß an Interaktion von Benutzerinnen und Benutzern in sozialen Medien bewirkt. Diese Bilder tragen die Handschrift diffusionsgestützter Bilderzeugung und sind auffälliger als die unbeholfenen visuellen Inhalte früherer Kampagnen. Benutzerinnen und Benutzer haben diese Bilder häufiger veröffentlicht, obwohl sie auf eine KI-Generierung hindeuten, z. B. mehr als fünf Finger an der Hand einer Person.14

Nebeneinander liegende Social-Media-Beiträge mit identischen Black-Lives-Matter-Bildern.
Abbildung 2: Eine Black-Lives-Matter-Grafik, die zunächst von einem automatisierten Konto der KPCh hochgeladen wurde. Dieselbe wurde sieben Stunden später von einem Konto hochgeladen, das sich als ein konservativer US-Wähler oder eine -Wählerin ausgab.
Ein KI-generiertes Propagandabild der Freiheitsstatue.
Abbildung 3: Beispiel für ein KI-generiertes Bild, das von einem mutmaßlichen chinesischen Agenten für Cyber- und Einflusstaktiken veröffentlicht wurde. Die Hand der Freiheitsstatue, die die Fackel hält, hat mehr als fünf Finger. Erfahren Sie mehr über dieses Bild auf Seite 6 im vollständigen Bericht.
Vier Kategorien von Influencerinnen und Influencern – Journalisten, Gleichgesinnte, ethnische Minderheiten und aus Lifestyle – auf einem Kontinuum, das von offen bis verdeckt reicht.
Abbildung 4: Diese Initiative umfasst Influencerinnen und Influencer, die aufgrund ihres Hintergrunds, ihrer Zielgruppen und ihrer Rekrutierungs- und Managementstrategien in vier große Kategorien fallen. Alle Personen unserer Analyse haben direkte Verbindungen zu den chinesischen Staatsmedien – wie etwa durch eine Anstellung oder indem sie Reiseeinladungen angenommen haben oder an einem anderen finanziellen Austausch beteiligt waren. Erfahren Sie mehr über dieses Bild auf Seite 7 im vollständigen Bericht.

Die Influencer-Initiative der chinesischen Staatsmedien

Eine weitere Strategie für die Bindung von Benutzerinnen und Benutzern in den sozialen Medien ist das Konzept der „mehrsprachigen Internet-Studios von Berühmtheiten“ (多语种网红工作室) der KPCh.15 Mehr als 230 Mitarbeiterinnen und Mitarbeiter staatlicher Medien und angeschlossener Unternehmen nutzen die Macht echter Stimmen aus und geben sich als unabhängige Social-Media-Influencerinnen und -Influencer auf allen wichtigen westlichen Plattformen der sozialen Medien aus.16 In den Jahren 2022 und 2023 treten durchschnittlich alle sieben Wochen neue Influencerinnen und Influencer in der Öffentlichkeit auf. Diese Influencerinnen und Influencer wurden von China Radio International (CRI) und anderen staatlichen chinesischen Medien rekrutiert, geschult, gefördert und finanziert. Sie verbreiten professionell lokalisierte KPCh-Propaganda, die eine bedeutende Bindung mit Zielgruppen auf der ganzen Welt erreicht – insgesamt mindestens 103 Millionen Anhängerinnen und Anhänger auf mehreren Plattformen und in mindestens 40 Sprachen.

Obwohl Influencerinnen und Influencer meist harmlose Lifestyle-Inhalte veröffentlichen, verbirgt sich hinter dieser Technik eine der KPCh nahestehende Propaganda, die Chinas Image im Ausland verbessern soll.

Die Rekrutierungsstrategie der chinesischen Staatsmedien für Influencerinnen und Influencer scheint zwei verschiedene Gruppen von Personen anzusprechen: Personen mit Erfahrung im Journalismus (insbesondere bei staatlichen Medien) und Absolventinnen und Absolventen von Fremdsprachenprogrammen. Insbesondere die China Media Group (die Muttergesellschaft von CRI und CGTN) stellt offenbar direkt Absolventinnen und Absolventen der besten chinesischen Fremdsprachenschulen wie der Beijing Foreign Studies University und der Communication University of China ein. Bei denjenigen, die nicht direkt von Universitäten rekrutiert werden, handelt es sich häufig um ehemalige Journalistinnen und Journalisten und Übersetzerinnen und Übersetzer. Sie erfahren ein „Rebranding“ als Influencerinnen bzw. Influencer und entfernen alle ausdrücklichen Hinweise auf die Zugehörigkeit zu staatlichen Medien aus ihren Profilen.

Der laotisch sprechende Influencer Song Siao veröffentlicht einen Lifestyle-Vlog, in dem er über die Wiederherstellung Chinas Wirtschaft inmitten der COVID-19-Pandemie spricht.
Abbildung 5: Der laotisch sprechende Influencer Song Siao veröffentlicht einen Lifestyle-Vlog, in dem er über die Wiederherstellung Chinas Wirtschaft inmitten der COVID-19-Pandemie spricht. In dem selbst gedrehten Video besucht er ein Autohaus in Peking und spricht mit Einheimischen. Erfahren Sie mehr über dieses Bild auf Seite 8 im vollständigen Bericht.
Social Post von Techy Rachel, einer englischsprachigen Influencerin.
Abbildung 6: Techy Rachel, eine englischsprachige Influencerin, die normalerweise über chinesische Innovationen und Technologien postet, weicht von ihren inhaltlichen Themen ab und mischt sich in die Debatte um chinesische Spionageballons ein. Wie andere chinesische Staatsmedien bestreitet sie, dass der Ballon für Spionagezwecke eingesetzt wurde. Erfahren Sie mehr über dieses Bild auf Seite 8 im vollständigen Bericht.

Influencerinnen und Influencer erreichen weltweit ein Publikum in mindestens 40 Sprachen.

Die geografische Verteilung der Sprachen, die von diesen staatsnahen Influencerinnen und Influencern gesprochen werden, spiegelt Chinas wachsenden globalen Einfluss und seine regionale Prioritätensetzung wider. Influencerinnen und Influencer, die asiatische Sprachen außer Chinesisch sprechen, wie z. B. Hindi, Singhalesisch, Paschtu, Laotisch, Koreanisch, Malaiisch und Vietnamesisch, stellen die größte Anzahl dar. Englischsprachige Influencerinnen und Influencer stellen die zweithöchste Anzahl von dar.
Fünf Kuchendiagramme zeigen die Aufschlüsselung der Influencerinnen und Influencer von chinesischen Staatsmedien nach Sprache.
Abbildung 7: Aufschlüsselung der Influencerinnen und Influencer in den chinesischen Staatsmedien nach Sprache. Erfahren Sie mehr über dieses Bild auf Seite 9 im vollständigen Bericht.

China nimmt Zielgruppen weltweit ins Visier.

Influencerinnen und Influencer decken sieben Zielgruppen (Sprachgruppen) ab, die in geografische Regionen unterteilt sind. Es werden keine Tabellen für englisch- oder chinesischsprachige Zielgruppen gezeigt.

Chinesische Cyberoperationen und Desinformationskampagnen erweitern ihre globale Reichweite durch mehreren Kampagnen

China hat 2023 seine Cyberoperationen und Desinformationskampagnen im Netz weiter ausgebaut, indem es sein Publikum in neuen Sprachen angesprochen und auf neuen Plattformen erreicht hat. In diesen Operationen wird der offene staatliche Medienapparat, der hoch kontrolliert ist, eingesetzt mit verdeckten oder verschleierten Social-Media-Akteuren, einschließlich Bots. Ziel ist, die von der KPCh bevorzugten Narrative zu verbreiten.17

Microsoft konnte eine solche KPCh-nahe Kampagne beobachten, die im Januar 2022 begann und zum Zeitpunkt des Verfassens dieses Berichts noch andauerte. Sie zielte auf die spanische Nichtregierungsorganisation (NRO) Safeguard Defenders ab, nachdem diese die Existenz von mehr als 50 chinesischen Polizeistationen in Übersee aufgedeckt hatte.18 Im Rahmen dieser Kampagne wurden mehr als 1.800 Konten auf mehreren sozialen Medienplattformen und Dutzenden von Websites eingerichtet, um KPCh-nahe Memes, Videos und Botschaften zu verbreiten und die Vereinigten Staaten und andere demokratische Länder zu kritisieren.

Diese Konten verfassten Nachrichten in neuen Sprachen (Niederländisch, Griechisch, Indonesisch, Schwedisch, Türkisch, Uigurisch und mehr) und auf neuen Plattformen (unter anderem Fandango, Rotten Tomatoes, Medium, Chess.com und VK). Trotz der Reichweite und Hartnäckigkeit dieser Operation erfahren die Veröffentlichungen nur eine geringe Bindung zu authentischen Nutzerinnen und Nutzern. Dies verdeutlicht, wie rudimentär chinesische Netzwerke ihre Aktivitäten durchführen.

Eine Reihe von 30 bekannten Technologiemarkenlogos, die neben einer Liste von 16 Sprachen präsentiert werden.
Abbildung 8: Die von der KPCh abgestimmten Inhalte der Cyberoperationen und Desinformationskampagnen sind auf vielen Plattformen und in vielen Sprachen entdeckt worden. Erfahren Sie mehr über dieses Bild auf Seite 10 im vollständigen Bericht.
Beispiele für taiwanesischsprachige Videopropaganda, die nebeneinander auf dem Bildschirm zu sehen sind.
Abbildung 9: Ein sehr häufig geteiltes Video in taiwanesischer Sprache, in dem die taiwanesische Regierung zur „Kapitulation“ vor Peking aufgerufen wird. Der große Unterschied zwischen Impressionen und geteilten Inhalten spricht dafür, dass es sich um koordinierte Aktivitäten der Cyberoperationen und Desinformationskampagnen handelt. Erfahren Sie mehr über dieses Bild auf Seite 10 im vollständigen Bericht.

Ein verschleiertes globales Netzwerk von CCP-Nachrichtenwebsites

Eine weitere digitale Medienkampagne, die Bandbreite der KPCh-nahen Cyberoperationen und Desinformationskampagnen veranschaulicht, ist ein Netzwerk von mehr als 50 überwiegend chinesischsprachigen Nachrichten-Websites. Sie unterstützen das erklärte Ziel der KPCh, die maßgebliche Stimme aller chinesischsprachigen Medien weltweit zu sein.19 Sie präsentieren sich als weitgehend unabhängige, eigenständige Websites und wenden sich an verschiedene chinesische Diaspora-Gemeinschaften auf der ganzen Welt. Wir gehen jedoch aufgrund von technischen Indikatoren, Website-Registrierungsinformationen und gemeinsamen Inhalten stark davon aus, dass diese Websites dem United Front Work Department (UFWD) verbunden sind. Dabei handelt es sich um ein Organ, das dafür verantwortlich ist, den Einflusses der KPCh über die Grenzen Chinas hinaus zu stärken, insbesondere durch Kontakte zu „Übersee-Chinesen“.20
Weltkarte mit mehr als 20 Logos chinesischer Websites, die auf die chinesische Diaspora weltweit abzielen.
Abbildung 10: Karte der Websites, die auf die chinesische Diaspora weltweit abzielen und als Teil dieser Medienstrategie bewertet werden.  Mehr erfahren über dieses Bild auf Seite 11 im vollständigen Bericht

Da viele dieser Websites eine gemeinsame IP-Adresse haben, konnten wir durch die Abfrage von Domänenauflösungen mit Microsoft Defender Threat Intelligence weitere Websites im Netzwerk entdecken. Viele Websites verwenden den gleichen HTML-Code für das Frontend, wobei sogar die in den Code eingebetteten Kommentare der Webentwickler auf verschiedenen Websites oft identisch sind. Mehr als 30 der Websites nutzen dieselbe Anwendungsprogrammierschnittstelle (API) und dasselbe Inhaltsverwaltungssystem wie die „hundertprozentige Tochtergesellschaft“ von China News Service (CNS), der Medienagentur der UFWD.21 Aufzeichnungen des chinesischen Ministeriums für Industrie und Informationstechnologie zeigen außerdem, dass mindestens 14 Nachrichtenseiten in diesem Netzwerk von dem UFWD-nahen Technologieunternehmen sowie einem weiteren registriert wurden.22 Durch die Nutzung von Tochtergesellschaften und dritten Medienunternehmen kann die UFWD somit ein globales Publikum erreichen und gleichzeitig ihre direkte Beteiligung verschleiern.

Diese Websites geben vor, unabhängige Nachrichtenanbieterinnen und -anbieter zu sein, veröffentlichen aber häufig dieselben Artikel der chinesischen Staatsmedien und behaupten oft, die Originalquelle des Inhalts zu sein. Während die Websites umfassend internationale Nachrichten abdecken und allgemeine Artikel der chinesischen Staatsmedien veröffentlichen, stimmen politisch sensible Themen überwiegend mit den von der KPCh bevorzugten Darstellungen überein. Zum Beispiel wird in mehreren hundert Artikeln in diesem Netzwerk von Websites fälschlicherweise behauptet, das COVID-19-Virus sei eine Biowaffe, die im biologischen Forschungslabor des US-Militärs in Fort Detrick hergestellt wurde.23 In den Seiten werden auch häufig Erklärungen chinesischer Regierungsbeamter und Artikel der staatlichen Medien verbreitet. Darin wird behauptet, das COVID-19-Virus stamme aus den Vereinigten Staaten und nicht aus China. Diese Websites sind ein Beispiel dafür, wie sehr die Kontrolle der KPCh das chinesischsprachige Medienumfeld durchdrungen hat und es der Partei ermöglicht, eine kritische Berichterstattung über sensible Themen zu unterdrücken.

Akkorddiagramm von überlappenden Artikeln, die von mehreren Websites veröffentlicht wurden.
Abbildung 11: Websites, die sich als ortsspezifisch präsentieren, aber den gleichen Inhalt haben. Dieses Akkorddiagramm zeigt die Überlappung von Artikeln, die von mehreren Websites veröffentlicht wurden. Mehr erfahren über dieses Bild auf Seite 12 im vollständigen Bericht
Screenshots, die zeigen, wie ein Artikel des China News Service auf Websites für Zielgruppen in Italien, Ungarn, Russland und Griechenland erneut veröffentlicht wurde.
Abbildung 12: Der China News Service und andere chinesische Staatsmedien veröffentlichten einen Artikel mit dem Titel „Erklärung der WHO entlarvt verdeckte US-Biolabore in der Ukraine“. Dieser Artikel wurde anschließend auf Websites für Zielgruppen in Ungarn, Schweden, Westafrika und Griechenland veröffentlicht. Mehr erfahren über dieses Bild auf Seite 12 im vollständigen Bericht

Globale Reichweite der chinesischen Staatsmedien

Die oben beschriebene Kampagne zeichnet sich durch ihre Verschleierungstechniken aus. Wohingegen die Websites der gutgläubigen chinesischen Staatsmedien die große Mehrheit der weltweiten Zuschauerzahlen der KPCh-gelenkten Medien bilden. Die KPCh erweitert die Reichweite ihrer „Diskursmacht“ (话语权), indem sie durch die Verwendung von Fremdsprachen expandiert,24 staatliche chinesische Medienbüros im Ausland eröffnet25 und kostenlose Inhalte im Sinne Pekings bereitstellt26. Dadurch kann sie ihre Propaganda in die Nachrichtenmedien anderer Länder weltweit einspielen.27
Organigramm, das eine Momentaufnahme des offenen Propaganda-Ökosystems der KPCh darstellt.
Abbildung 13: Organigramm, das eine Momentaufnahme der Funktionen und Einrichtungen darstellt, die Teil des offenen Propaganda-Ökosystems der KPCh sind. Erfahren Sie mehr über dieses Bild auf Seite 13 im vollständigen Bericht.

Messung des Datenverkehrs auf Websites chinesischer Staatsmedien

Das AI for Good Lab von Microsoft hat einen Index entwickelt, um den Datenverkehrsfluss von Nutzerinnen und Nutzern außerhalb Chinas zu messen, der von Medien der chinesischen Regierung ausgeht. Der Index misst den Anteil der Besucherinnen und Besucher dieser Seiten am gesamten Datenverkehr des Internets, ähnlich wie der im Juni 2022 eingeführte Russian Propaganda Index (RPI).28

Fünf Bereiche dominieren den Konsum der chinesischen Staatsmedien, die etwa 60 % aller Seitenaufrufe der chinesischen Staatsmedien ausmachen.

Grafik, die den Konsum chinesischer Medien anzeigt
Erfahren Sie mehr über dieses Bild auf Seite 14 im vollständigen Bericht.

Der Index kann Trends im relativen Erfolg chinesischer Staatsmedien nach geografischen Gesichtspunkten im Laufe der Zeit aufzeigen. Unter den Mitgliedsstaaten des Verbandes Südostasiatischer Nationen (ASEAN) stechen beispielsweise Singapur und Laos hervor. Ihr relativer Datenverkehr auf Websites chinesischer Staatsmedien ist mehr als doppelt so hoch wie der des drittplatzierten Brunei. Die Philippinen befinden sich an letzter Stelle, mit 30-mal weniger Verkehr auf den Websites der chinesischen Staatsmedien als Singapur und Laos. In Singapur, wo Mandarin Amtssprache ist, spiegelt der hohe Konsum chinesischer Staatsmedien den Einfluss Chinas auf Nachrichten in Mandarin wider. In Laos ist die Zahl der Chinesisch sprechenden Menschen weitaus geringer, was den relativen Erfolg der chinesischen Staatsmedien im Umfeld des Landes widerspiegelt.

Screenshot der Startseite der meistbesuchten Domäne, PhoenixTV.
Abbildung 14: Startseite der meistbesuchten Domain, PhoenixTV, mit 32 % aller Seitenaufrufe. Erfahren Sie mehr über dieses Bild auf Seite 14 im vollständigen Bericht.

Durch immer raffiniertere nordkoreanische Cyberoperationen werden Informationen gesammelt und Einnahmen für den Staat generiert.

Nordkoreanischen Cyberbedrohungsakteure führen Cyberoperationen durch, um 1. Informationen über die Aktivitäten der vermeintlichen Staatsgegner zu sammeln: Südkorea, den Vereinigten Staaten und Japan, 2. Informationen über die militärischen Fähigkeiten anderer Länder zusammenzustellen und ihre eigenen zu verbessern, und 3. Kapital für den Staat in Form von Kryptowährung zu sammeln. Microsoft beobachtete im vergangenen Jahr größere Überschneidungen bei den Zielen verschiedener nordkoreanischer Bedrohungsakteure und eine zunehmende Raffinesse von nordkoreanischen Aktivitätsgruppen.

Für Nordkoreas Cyberprioritäten spielt die Erforschung maritimer Technologien eine bedeutende Rolle, ebenso wie von Tests von Unterwasserdrohnen und -fahrzeugen.

Microsoft Threat Intelligence hat im vergangenen Jahr größere Überlappungen bei den Zielen von nordkoreanischen Bedrohungsakteuren beobachtet. So nahmen beispielsweise die drei nordkoreanische Bedrohungsakteure Ruby Sleet (CERIUM), Diamond Sleet (ZINC) und Sapphire Sleet (COPERNICIUM) von November 2022 bis Januar 2023 auf den maritimen Sektor und den Schiffbau ins Visier. Microsoft hatte zuvor keine derartigen Überlappungen zwischen den Zielen mehrerer nordkoreanischer Aktivitätsgruppen beobachtet. Dies lässt darauf schließen, dass die Erforschung von Meerestechnologien zu diesem Zeitpunkt eine hohe Priorität für die nordkoreanische Regierung hatte. Im März 2023 feuerte Nordkorea Berichten zufolge zwei strategische Marschflugkörper von einem U-Boot aus in Richtung Japanisches Meer (auch bekannt als Ostmeer) als Warnung. Dieses Szenario spielte kurz vor der südkoreanisch-amerikanischen Militärübung Freedom Shield ab. Im selben und im darauffolgenden Monat testete Nordkorea angeblich zwei Haeil-Unterwasser-Angriffsdrohnen vor der Ostküste des Landes in Richtung Japanisches Meer. Diese maritimen Militärtests fanden statt, kurz nachdem drei nordkoreanische Cybergruppen maritime Verteidigungseinrichtungen für die Sammlung von Informationen ins Visier genommen hatten.

Bedrohungsakteure kompromittieren Verteidigungsunternehmen aufgrund von Datenerfassungsanforderungen höchster Priorität durch das nordkoreanische Regime

Von November 2022 bis Januar 2023 beobachtete Microsoft ein zweites Mal Überlappungen von Angriffszielen, wobei Ruby Sleet und Diamond Sleet Verteidigungsunternehmen angriffen. Die beiden Bedrohungsakteure haben zwei in Deutschland und Israel ansässige Waffenhersteller kompromittiert. Dies deutet darauf hin, dass die nordkoreanische Regierung mehrere Gruppen von Bedrohungsakteuren gleichzeitig einsetzt, um Datenerfassungsanforderungen höchster Priorität zu erfüllen und somit die militärischen Fähigkeiten ihres Landes zu verbessern. Seit Januar 2023 hat Diamond Sleet auch Verteidigungsunternehmen in Brasilien, Tschechien, Finnland, Italien, Norwegen und Polen kompromittiert.
Kuchendiagramm, das die von Nordkorea am meisten angegriffenen Rüstungsindustrien nach Ländern zeigt
Abbildung 15: Nordkorea, das auf Verteidigungsindustrie nach Ländern abzielt, von März 2022 bis März 2023

Die russische Regierung und die Verteidigungsindustrie sind nach wie vor ein Ziel für Nordkorea, um Informationen zu sammeln.

Kürzlich haben mehrere nordkoreanische Bedrohungsakteure die russische Regierung und Verteidigungsindustrie ins Visier genommen und gleichzeitig Russland in seinem Krieg in der Ukraine materiell unterstützt.32 Im März 2023 kompromittierte Ruby Sleet ein Forschungsinstitut für Luft- und Raumfahrt in Russland. Außerdem kompromittierte Onyx Sleet (PLUTONIUM) Anfang März ein Gerät einer russischen Universität. Ein Angreifer, der Opal Sleet (OSMIUM) zugeordnet wird, versandte unabhängig davon im selben Monat Phishing-E-Mails an Konten russischer diplomatischer Regierungsstellen. Nordkoreanische Bedrohungsakteure könnten die Gelegenheit nutzen, um nachrichtendienstliche Informationen über russische Einrichtungen zu sammeln, da sich das Land auf seinen Krieg in der Ukraine konzentriert.

Nordkoreanische Gruppen weisen raffiniertere Operationen durch Diebstahl von Kryptowährungen und Angriffe auf Lieferketten auf.

Microsoft bewertet, dass nordkoreanische Aktivitätsgruppen durch Diebstahl von Kryptowährungen und Angriffe auf die Lieferkette immer raffiniertere Operationen durchführen können. Im Januar 2023 schrieb das FBI (Federal Bureau of Investigation) den Diebstahl von 100 Millionen US-Dollar in Kryptowährung von Harmony's Horizon Bridge im Juni 2022 öffentlich Jade Sleet (DEV-0954) zu, auch bekannt als Lazarus Group/APT38.33 Darüber hinaus schrieb Microsoft den Lieferkettenangriff auf 3CX im März 2023 Citrine Sleet (DEV-0139) zu, bei dem eine frühere Kompromittierung der Lieferkette eines US-Finanztechnologieunternehmens im Jahr 2022 ausgenutzt wurde. Nach Beobachtungen von Microsoft war es das erste Mal, dass eine Aktivitätsgruppe eine bestehende Kompromittierung der Lieferkette für einen weiteren Angriff auf die Lieferkette nutzt – was die zunehmende Komplexität von nordkoreanischen Cyberoperationen verdeutlicht.

Emerald Sleet verwendet eine bewährte Spearphishing-Taktik, indem Expertinnen und Experten mit außenpolitischem Wissen zu einer Antwortet verleitet werden.

Emerald Sleet (THALLIUM) ist nach wie vor der aktivste nordkoreanische Bedrohungsakteur, den Microsoft im vergangenen Jahr beobachtet hat. Emerald Sleet sendet weiterhin häufig Spearphishing-E-Mails an Korea-Experten in aller Welt, um Informationen zu sammeln. Im Dezember 2022 berichtete Microsoft Threat Intelligence ausführlich über die Phishing-Kampagnen von Emerald Sleet. Diese zielten auf einflussreiche Nordkorea-Expertinnen und -Experten ab, die sich in den Vereinigten Staaten sowie in den USA-verbündeten Ländern befinden. Microsoft fand heraus, dass Emerald Sleet anstatt bösartige Dateien oder Links zu bösartigen Websites zu verbreiten, eine einzigartige Taktik anwendet: sich als seriöse akademische Einrichtungen und Nichtregierungsorganisationen ausgeben, um ihre Opfer – Expertinnen und Experten – dazu zu bringen, mit Wissen und Kommentaren in Bezug auf Nordkorea zu antworten.

Funktionen: Einfluss

Nordkorea hat im vergangenen Jahr in begrenztem Umfang Desinformationskampagnen in sozialen Medienplattformen wie YouTube und TikTok durchgeführt, in denen Videos geteilt werden.34 Bei den nordkoreanischen YouTube-Influencerinnen und -Influencern handelt es sich meist um Mädchen und Frauen, die Vlogs über ihr tägliches Leben veröffentlichen und positive Erzählungen über das Regime verbreiten. Eine von ihnen ist erst elf Jahre alt. Einige der Influencerinnen und Influencer sprechen in ihren Videos Englisch, um ein größeres Publikum weltweit zu erreichen. Die nordkoreanischen Influencerinnen und Influencer sind weit weniger effektiv als die von den chinesischen Staatsmedien unterstützte Initiative für Influencerinnen und Influencer.

Ein Blick in die Zukunft inmitten von geopolitischen Spannungen, die Cyberaktivitäten und Desinformationskampagnen verstärken

China hat seine Cyberfähigkeiten in den letzten Jahren weiter ausgebaut und bei seinen Kampagnen der Cyberoperationen und Desinformationskampagnen einen größeren Ehrgeiz gezeigt. In naher Zukunft wird sich Nordkorea weiterhin auf Ziele konzentrieren, die mit seinen politischen, wirtschaftlichen und verteidigungspolitischen Interessen in der Region zusammenhängen. Es ist mit einer Ausweitung der Cyberspionage gegen Gegner und Befürworter der geopolitischen Ziele der KPCh auf allen Kontinenten zu rechnen. In China ansässige Bedrohungsgruppen entwickeln und setzen weiterhin beeindruckende Cyberfähigkeiten ein. Dennoch haben wir nicht beobachtet, dass China Cyberoperationen und Desinformationskampagnen kombiniert – im Gegensatz zu Iran und Russland, die sich an Hacking- und Leak-Kampagnen beteiligen.

China-verbundene Akteure, die in einer bisher von anderen bösartigen Einflussakteuren unerreichten Größenordnung operieren, werden in den nächsten sechs Monaten aus mehreren wichtigen Trends und Ereignissen Kapital schlagen.

Erstens werden Operationen, in denen Videos und visuelle Medien verwendet werden, immer mehr zur Norm. KPCh-nahe Netzwerke nutzen schon seit langem KI-generierte Profilbilder und haben in diesem Jahr KI-generierte Kunst für visuelle Memes eingeführt. Staatlich unterstützte Akteure werden auch weiterhin private Content-Studios und PR-Firmen nutzen, um Propaganda auf Abruf auszulagern.35

Zweitens wird sich China weiterhin um ein authentisches Publikum bemühen und Zeit und Ressourcen in die Pflege von sozialen Medien investieren. Influencerinnen und Influencer, die fundierte kulturelle und sprachliche Kenntnissen haben und qualitativ hochwertige Videoinhalten erstellen, werden als Pioniere für die erfolgreiche Bindung von Nutzerinnen und Nutzern in den sozialen Medien angesehen. Die KPCh wird einige dieser Taktiken anwenden – darunter die Interaktion mit Nutzern sozialer Medien und die Demonstration kultureller Kenntnisse – um ihre verdeckten Kampagnen in den sozialen Medien zu unterstützen.

Drittens werden Taiwan und die Vereinigten Staaten wahrscheinlich die beiden wichtigsten Prioritäten für die chinesischen Cyberoperationen und Desinformationskampagnen bleiben, insbesondere aufgrund der bevorstehenden Wahlen in beiden Ländern im Jahr 2024. Da KPCh-verbündete Akteure die letzten Wahlen in den USA beeinflusst haben, kann angenommen werden, dass sie dies erneut tun werden. Akteure, die sich in den sozialen Medien als US-Wähler ausgeben, werden wahrscheinlich ein höheres Maß an Raffinesse präsentieren. Indem sie Inhalte verbreiten, die den Vereinigten Staaten kritisch gegenüberstehen, können sie aktiv zu rassistischen, sozioökonomischen und ideologischen Konflikten beitragen.

  1. [1]
  2. [2]

    Neue Stützpunkte auf den Philippinen erhöhen die militärische Präsenz der USA in der Region, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Gegenwärtig gibt es keine ausreichenden Beweise, um die Gruppen miteinander in Verbindung zu bringen.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Diese Statistiken geben den Stand vom April 2023 wieder.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Solche Einflussakteure werden manchmal auch als „Spamouflage Dragon“ oder „DRAGONBRIDGE“ bezeichnet.
  18. [18]
  19. [19]
  20. [20]

    Weitere Informationen finden Sie unter: Das Framework des Microsoft Threat Analysis Center für die Bestimmung von Einflussmöglichkeiten. https://go.microsoft.com/fwlink/?linkid=2262095; Die chinesische Diaspora wird von der chinesischen Regierung häufig als „Auslandschinesen“ oder 华侨 (Huaqiao) bezeichnet. Sie bezieht sich auf Personen mit chinesischer Staatsbürgerschaft oder chinesischem Erbe, die außerhalb der VR China leben. Weitere Informationen zu Pekings Interpretation der chinesischen Diaspora finden Sie unter: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Die chinesische Regierung hat dieses Narrativ zu Beginn der COVID-19-Pandemie verbreitet, siehe: https://go.microsoft.com/fwlink/?linkid=2262170; Websites innerhalb dieses Netzwerks, die diese Behauptung unterstützen, sind unter anderem: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Verteidigung der Ukraine: Erste Lehren aus dem Cyberkrieg, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Eine andere Interpretation von Xuexi Qiangguo ist „Über Xis Gedanken lernen, das Land stärken“. Der Name ist ein Wortspiel mit dem Familiennamen von Xi Jinping. Regierungen, Universitäten und Unternehmen in China fördern die Nutzung der App nachdrücklich. Untergebene wurden in einigen Fällen beschämt und bestraft: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Die Zeitung ist Eigentum der Shanghai United Media Group, die wiederum dem Komitee der Kommunistischen Partei Shanghais gehört: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    Die KPCh hat bereits in private Unternehmen investiert, die Cyberoperationen und Desinformationskampagnen durch SEO-Manipulationstechniken, gefälschte Likes und Follower und andere Dienstleistungen unterstützen. In Beschaffungsdokumenten sind solche Angebote zu finden: https://go.microsoft.com/fwlink/?linkid=2262522

Desinformationskampagnen im Cyberspace Berichte der Ostasiatischen Nationalstaaten Berichte zu Nationalstaaten Phishing Bedrohungsakteure

Verwandte Artikel

Volt Typhoon infiltriert kritische US-Infrastruktur mit LOTL-Techniken (Living off the Land).

Es wurde beobachtet, dass der vom chinesischen Staat finanzierte Bedrohungsakteur Volt Typhoon mit verdeckten Techniken auf kritische US-Infrastruktur abzielt, Spionage betreibt und sich in kompromittierten Umgebungen festsetzt.
Mehr erfahren

Propaganda im digitalen Zeitalter: So untergraben Desinformationskampagnen im Cyberspace das Vertrauen

Informieren Sie sich über Desinformationskampagnen im Cyberspace, mit denen Nationalstaaten Propaganda verbreiten, die eine Gefahr für die vertrauenswürdigen Informationen darstellen, die für erfolgreiche Demokratien nötig sind.
Mehr erfahren

Iran setzt für größere Wirksamkeit auf Cyberdesinformationskampagnen

Microsoft Threat Intelligence hat zunehmende Cyberdesinformationskampagnen aus dem Iran aufgedeckt. Sehen Sie sich Erkenntnisse zu Bedrohungen mit Details neuer Techniken an, und finden Sie heraus, wo das Potenzial für künftige Bedrohungen liegt.
Mehr erfahren

Microsoft folgen