Trace Id is missing

Los actores de amenazas rusos se atrincheran y se preparan para aprovechar la fatiga de la guerra

 Operaciones de influencia cibernética
Introducción
Los actores de ciberataques e influencia rusos han demostrado capacidad de adaptación durante la guerra en Ucrania, probando nuevas formas de obtener ventaja en el campo de batalla y debilitando las fuentes de apoyo nacionales e internacionales de Kiev. En este informe se detallan las actividades de ciberamenazas e influencia malintencionada que Microsoft observó entre marzo y octubre de 2023. Durante esta época, las poblaciones civiles y militares ucranianas han vuelto a estar en el punto de mira, mientras que la amenaza de intromisiones y manipulación creció a las entidades de todo el mundo que prestan ayuda a Ucrania y buscan que las fuerzas rusas sean juzgadas por sus crímenes de guerra.

Fases de la invasión rusa de Ucrania desde enero de 2022 hasta junio de 2023

Gráfico en el que se muestran las fases de invasión rusa de Ucrania
Más información sobre esta imagen en la página 3 del informe completo

Las acciones de amenazas que observó Microsoft en el periodo entre marzo y octubre refleja las operaciones combinadas para desmoralizar al público ucraniano y tienen un foco especial en el ciberespionaje. Los actores militares, de ciberataques y de propaganda dirigieron ataques coordinados contra el sector agrícola ucraniano (un objetivo de infraestructura civil) en medio de una crisis global del grano. Los actores tras las ciberamenazas afiliados con la inteligencia militar rusa (GRU) se dedicaron a operaciones de ciberespionaje contra el aparato militar ucraniano y sus líneas de suministro extranjeras. A medida que la comunidad internacional a tratado de castigar los crímenes de guerra, los grupos ligados al Servicio de Inteligencia Exterior (SVR) y al Servicio Federal de Seguridad (FSB) atacaron a los investigadores de crímenes de guerra fuera de Ucrania.

En el frente de la influencia, la breve rebelión de junio del 2023 y posterior muerte de Yevgeny Prigozhin, propietario del grupo Wagner y la infame granja de trols Agencia de Investigación de Internet, planteó dudas sobre el futuro de las capacidades de influencia rusas. A lo largo de este mes, Microsoft observó operaciones generalizadas realizadas por organizaciones que no estaban conectadas a Prigozhin, lo que ilustra que el futuro de las campañas de influencia malintencionadas rusas sin él.

Inteligencia contra amenazas Microsoft y los equipos de respuesta a incidentes han notificado y colaborado con los socios de clientes y gobiernos afectados para mitigar la actividad de amenaza descrita en este informe.

Las fuerzas rusas confían más en armas convencionales para infligir daño en ucrania, pero las operaciones de ciberataques e influencia siguen siendo una amenaza para la seguridad de las redes informáticas y la vida civil de los aliados de Ucrania en la región, la OTAN y a nivel global. Además de actualizar nuestros productos de seguridad para defender de forma proactiva a nuestros clientes a nivel mundial, estamos compartiendo esta información para estimular la vigilancia continuada contra las amenazas a la integridad del espacio de información global.

Las fuerzas cinéticas, de ciberataque y de propaganda rusas confluyeron contra el sector agrícola ucraniano este verano. Los ataques militares destruyeron grano suficiente para alimentar a 1 millón de personas durante un año, mientras que los medios prorrusos impulsaron narrativas para justificar estos ataques a pesar de los costes humanitarios.1

De junio a septiembre, la Inteligencia contra amenazas Microsoft observó penetración en las redes, filtraciones de datos e incluso malware destructivo implementado contra organizaciones ligadas al sector agrícola ucraniano y a la infraestructura de transporte de grano. En junio y julio, Aqua Blizzard (anteriormente ACTINIUM) robó datos de una firma que ayudaba a realizar un seguimiento del rendimiento de las cosechas. Seashell Blizzard (anteriormente IRIDIUM) usó variantes de malware destructivo rudimentario, que Microsoft detectó como WalnutWipe/SharpWipe, contra las redes del sector alimentario/agrícola.2

Desglose de las actividades de propaganda digital rusas dirigidas contra la agricultura ucraniana

Visualización de las actividades de propaganda digital rusas dirigidas contra la agricultura ucraniana
Más información sobre esta imagen en la página 4 del informe completo

En julio, Moscú se retiró de la Iniciativa del Cereal del Mar Negro (Black Sea Grain Initiative), un esfuerzo humanitario que ayudó a evitar una crisis alimentaria mundial y permitió el transporte de más de 725 000 toneladas de grano a los habitantes de Afganistán, Etiopía, Kenia, Somalia y Yemen en su primer año.3Tras la acción de Moscú, los medios prorrusos y los canales de Telegram pasaron a atacar la Iniciativa del cereal y proporcionar justificaciones para la decisión de Moscú. Los medios propagandísticos retrataron el corredor de cereal como una fuente de tráfico de droga o como un medio de transferir armas de forma encubierta, para reducir la importancia del acuerdo humanitario.

En varios informes del 2023, destacamos cómo los grupos de hacktivistas legítimos o falsos con sospechas de conexiones con la GRU han trabajado para amplificar el descontento de Moscú con sus adversarios y exagerar el número de ciberfuerzas rusas.4 5 6Este verano, también observamos roles hacktivistas en Telegram difundir mensajes que intentaban justificar los ataques militares contra infraestructura civil en Ucrania y se centraron en ataques de denegación de servicio (DDoS) contra los aliados ucranianos en el extranjero. La supervisión continuada de Microsoft de los grupos hacktivistas con actores de estados naciones ofrece información adicional tanto sobre el ritmo operativo de las entidades y las formas en que sus actividades complementan los objetivos de las otras partes.

Hasta la fecha, hemos identificado tres grupos (SoIntsepek, InfoCentr y Ciber Ejérticito de Russia) que interactúan con Seashell Blizzard. La relación de Seashell Blizzard con los medios hacktivistas puede ser de uso a corto plazo, en lugar de control, en función de los picos de actividad temporal hacktivistas en cibercapacidades que coinciden con los ataques de SeaShell Blizzard. Periodicamente, SeaShell Blizzard lanza un ataque desctructivo del cual reclaman su autoría los grupos hacktivistas de Telegram. Después, los hacktivistas vuelven a las acciones de baja complejidad que suelen realizar, incluyendo ataques DDoS o filtraciones de información personal ucraniana. La red representa una infraestructura ágil que la amenaza avanzada persistente puede usar para promover su actividad.

Actividades del hacktivismo prorruso

Gráfico en el que se muestra las actividades del hacktivismo prorruso
Más información sobre esta imagen en la página 5 del informe completo

Las fuerzas rusas no solo participan en acciones que pueden ir en contra del derecho internacional, sino que también atacan a los investigadores y fiscales que preparan casos contra ellos.

La telemetría de Microsoft reveló que los actores vinculados a los cuerpos militares y agencias de inteligencia extranjera rusos atacaron y vulneraron las redes legales y de investigación ucranianas y las organizaciones internacionales implicadas en las investigaciones de crímenes de guerra durante la primavera y el verano de este año.

Estas ciberoperaciones se produjeron en un contexto de escalada de tensión entre Moscú y grupos como la Corte Criminal Internacional (ICC) que emitió una orden de captura para el presidente ruso Putin por cargos de crímenes de guerra en marzo.7

En abril, el grupo SeaShell Blizzard, vinculado al GRU, puso en peligro la red de una firma legal que se centra en casos de crímenes de guerra. Aqua Blizzard, asociada a la FSB, vulneró la red interga de uno de los principales cuerpos de investigación ucranianos en julio y después usó las cuentas en peligro para enviar correos de suplantación de identidad a varias firmas de telecomunicaciones ucranianas en septiembre.

Los actores de SVR de Midnig Blizzard (anteriormente NOBELIUM) pusieron en peligro y accedieron a documentos de una organización legal con responsabilidades globales en junio y julio antes de que la Respuesta a incidentes Microsoft interviniese para solucionar la intrusión. Esta actividad era parte de un enfoque más agresivo de este actor para vulnerar organizaciones de los sectores diplomáticos, de defensa, de políticas públicas y de TI de todo el mundo.

Una reseña de las notificaciones de seguridad de Microsoft emitidas a los clientes afectados desde marzo reveló que Midnight Blizzard ha tratado de acceder a más de 240 organizaciones, principalmente en EE. UU., Canadá y otros países europeos, con varios niveles de éxito.8

Casi el 40 %  de las organizaciones atacadas eran gubernamentales, intergubernamentales o grupos centrados en la política.

Los actores de amenazas rusos usaron varias técnicas para obtener acceso inicial y establecer su persistencia en las redes atacadas. Midnight Blizzard adoptó un enfoque "de fregadero", usando difusión de contraseñas, credenciales adquiridas a través de terceros, campañas de ingeniería social creíbles mediante Teams, y el abuso de servicios en la nube para infiltrase en entornos de la nube.9Aqua Blizzard integró eficazmente tráfico HTML en campañas de suplantación de identidad de acceso inicial para reducir la probabilidad de detección por firmas de antivirus y controles de seguridad de correo electrónico.

SeaShell Blizzard se aprovechó de sistemas de servidor de perímetro como Exchange y los servidores Tomcat y aprovechó simultáneamente software de Microsoft Office pirateado para utilizar la puerta trasera DarkCrystalRAT y obtener acceso inicial. La puerta trasera permitió al actor cargar una carga de segunda fase denominada Shadowlink, un paquete de software que se hace pasar por Microsoft Defender e instala el servicio TOR en un dispositivo y ofrece al actor de amenaza acceso encubierto mediante la red TOR.10

Diagrama en el que se muestra cómo Shadowlink instala el servicio TOR en un dispositivo de software
Más información sobre esta imagen en la página 6 del informe completo 

Desde que las fuerzas rusas iniciaron su ofensiva en la primavera de 2023, los actores afiliados de GRU y FSB han concentrado sus esfuerzos en la recopilación de inteligencia de la infraestructura militar y de comunicaciones ucraniana en zonas de combate.

A fecha de marzo, Inteligencia contra amenazas Microsoft conectó a Se Blizzard a posibles paquetes y trampas de suplantación de identidad que aparecieron diseñadas para atacar a los principales componentes de la infraestructura de comunicaciones militar ucraniana. No tuvimos visibilidad de las acciones consiguientes. De acuerdo con el Servicio de Seguridad de Ucrania (SBU), los otros intentos de SeaShell Blizzard de acceder a las redes militares ucranianas incluyeron malware que les habría permitido recopilar información acerca de las configuraciones de terminales de satélites Starlink conectados y aproximar la localización de las unidades militares ucranianas.11 12 13

Secre Blizzard (anteriormente KRYPTON) también pasó a la recopilación de inteligencia de seguridad en redes relacionadas con la defensa ucraniana. En asociación con el Equipo de Respuesta Ante Emergencias Informáticas Gubernamental de Ucrania (CERT-UA), Inteligencia contra amenazas Microsoft ha identificado la presencia del malware de puerta trasera Kazuar y DeliveryCheck de Secret Blizzard en los sistemas de las fuerzas de defensa ucranianas.14 Kazuar permite más de 40 funciones, incluidas el robo de credenciales de varias aplicaciones, datos de autenticación, proxies y cookies, y la recuperación de datos de los registros del sistema operativo.15Secret Blizzard tenía in interés especial en robar archivos con mensajes de la aplicación de mensajería de escritorio Signal, lo que podría permitirles leer chats privados de Signal.16

Forest Blizzard (anteriormente STRONTIUM) tiene un foco renovado en sus objetivos de espionaje tradicionales, organizaciones relacionadas con la defensa en Estados Unidos, Canadá y Europa cuyos entrenamiento y recursos militares ayudan a las fuerzas ucranianas a equiparse para seguir luchando.

Desde marzo, Forest Blizzard ha intentado obtener acceso inicial a organizaciones de defensa mediante mensajes de suplantación de identidad que incorporaban técnicas novedosas y evasivas. Por ejemplo, en agosto, Forest Blizzard envió un correo electrónico de suplantación de identidad que incorporó una vulnerabilidad de seguridad para CVE-2023-38831 a los poseedores de cuenta de una organización de defensa europea. CVE-2023-38831 es una vulnerabilidad de seguridad den el software WinRAR que permite a los atacantes ejecutar código arbitrario cuando un usuario intentan ver un archivo benigno en un archivo ZIP.

El actor también aprovecha herramientas de desarrollo legítimas como Mockbin y Mocky para comandos y control. A finales de septiembre, el actor llevó a cabo una campaña de suplantación de identidad que abusó los servicios GitHub y Mockbin. CERT-UA y otras firmas de ciberseguridad publicaron la actividad en septiembre, indicando que el actor usó páginas de entretenimiento adulto para engañar a las víctimas a hacer clic en un enlace o abrir un archivo que podría redirigirlos a una infraestructura Mockbin malintencionada.17 18Microsoft observó un giro hacia el uso de una página con temas tecnológicos a finales de septiembre. En cada caso, los actores enviaron un correo de suplantación de identidad que contenía un enlace malintencionada que redirigiría a la víctima a una URL de Mockbin y descargaría un archivo zip empaquetado con un paquete LNK (acceso directo) malintencionado que se hacía pasar por una actualización de Windows. El archivo LNK después pasaría a descargar y ejecutar otro script de PowerShell para establecer persistencia y realizar acciones posteriores como el robo de datos.

Captura de pantalla de ejemplo de PDF engañoso con suplantación de Forest Blizzard de organizaciones de defensa.

Actor de amenaza se hacer pasar por personal del parlamento europeo
Datos adjuntos de correo electrónico: "Agenda del 28 de agosto a 3 de septiembre de 2023" de reuniones del Parlamento Europeo. Comunicado del servicio de prensa. 160 KB bulletin.rar
Ilustración 5: Captura de pantalla de ejemplo de PDF engañoso con suplantación de Forest Blizzard de organizaciones de defensa.  Más información sobre esta imagen en la página 8 del informe completo

A lo largo de 2023, MTAC continuó observando Storm-1099, un actor de influencia afiliado a Rusia responsable de una operación de influencia prorrusa que atacó a los partidarios internacionales de Ucrania desde la primavera de 2022.

Quizás es más conocido por la operación de falsificación de sitios web a gran escala denominada como "Doppleganger" por el grupo de investigación EU DisinfoLab,19 las actividades de Storm-1099 también incluyen sitios con marcas únicas como Reliable Recent News (RRN), proyectos multimedia como la serie de dibujos antiucraniana "Ukraine Inc." y protestas en las calles que unen el mundo digital y el físico. Aunque el modo de atribución está incompleto, los propagandistas, especialistas de relaciones públicas y tecnólogos políticos rusos con buen financiamiento, han llevado a cabo y apoyado varias campañas de Storm-1099.20

Las operación Doppelganger de Storm-1099 sigue funcionando a toda potencia a fecha de escritura de este informe, a pesar de los intentos persistentes de empresas tecnológicas y entidades de investigación para denunciarlo y mitigar su alcance.21 Si bien este actor ha atacado normalmente a Europa occidental (sobre todo a Alemania), también a atacado a Francia, Italia y Ucrania. En los últimos meses Storm-1099 ha cambiado su foco de localización a Estados Unidos e Israel. Esta transición comenzó en enero de 2023, entre protestas a gran escala en Israel contra la reforma jurídica propuesta y se intensificó tras el estallido de la guerra Israel-Hamas a principios de octubre. Los sitios con marcas recientemente creados reflejan un aumento en la priorización de la política de EE. UU. y las próximas elecciones presidenciales de EE. UU. en 2024, mientras que los recursos de Storm-1099 han propagado la información falsa de que Hamas adquirió armas ucranianas en el mercado negro para su ataque el 7 de octubre contra Israel.

Recientemente, a finales de octubre, MTAC detectó que cuentas que Microsoft considera que son recursos de Storm-1099 están promocionando nuevos tipos de falsificaciones además de noticias y sitios web falsos en redes sociales. Esta es una serie de clips de noticias falsas cortos, aparentemente creados por medios fiables, que difundieron los actores de propaganda prorrusos para socavar el apoyo a Ucrania e Israel. Si bien esta táctica (el uso de vídeo para difundir propaganda) ha tenido un mayor uso entre actores prorrusos, la promoción de Storm-1099 de este contenido de vídeo solo destaca las distintas técnicas de influencia del actor y objetivos de mensajería.

Artículos publicados en sitios Doppleganger falsos

La campaña realizada por el actor de amenaza de ciberinfluencia ruso Storm-1099 fue observado y supervisado por Microsoft.
Observado y supervisado por Microsoft el 31 de octubre de 2023. Artículos publicados en sitios Doppleganger falsos; la campaña llevada a cabo por el actor de amenaza de ciberinfluencia ruso Storm-1099.
Más información sobre esta imagen en la página 9 del informe completo

Desde los ataques de Hamas en Israel el 7 de octubre, los medios estatales rusos y los actores de influencia que apoyan al estado han intentado explotar la guerra Israel-Hamas para promocionar narrativas antiucranianas y sentimientos antiestadounidenses, y exacerbar la tensión entre todas las partes. Esta actividad, si bien es una reacción a la guerra y suele estar limitada por el ámbito, incluye tanto medios patrocinados por el estado como redes de medios sociales afiliadas con Rusia encubiertas que abarcan varias plataformas de redes sociales.

 

Las narrativas promocionadas por los propagandistas rusos y las redes de medios sociales prorrusas tratan de posicionar a Israel contra Ucrania y reducir el apoyo occidental a Kiev al afirmar falsamente que Ucrania armó a los militantes de Hamas en falsificaciones de medios prestigiosos y vídeos manipulados. Entre los ejemplos de este contenido se encuentra un vídeo falso que afirma que reclutas extranjeros, incluidos estadounidenses, fueron transferidos desde Ucrania para unirse a operaciones de las Fuerzas de Defensa Israelíes (FDI) en la Franja de Gaza, que obtuvo cientos de miles de visualizaciones en distintas plataformas de redes sociales. Esta estrategia potencia narrativas antiucranianas entre una amplia audiencia y aumenta la interacción al fomentar narrativas falsas que se alinean con noticias importantes.

 

Rusia también aumenta su actividad de influencia digital con la promoción de eventos en el mundo real. Los medios rusos han promocionado de forma agresiva contenido que amplifica las protestas relacionadas con el conflicto Israel-Hamas en Oriente Medio y Europa, incluido el uso de corresponsales en vivo de agencias de noticias estatales rusas. A finales de octubre de 2023, las autoridades francesas afirmaron que cuatro personas de nacionalidad moldava posiblemente estaban vinculadas con un grafiti de una Estrella de David en espacios públicos parisinos. Dos de estos moldavos afirmaron que seguían las instrucciones de una persona de habla rusa, lo que sugería una posible responsabilidad rusa tras los grafitis. Posteriormente, recursos de Storm-1099 amplificaron las imágenes de los grafitis.22

 

Es probable que Rusia haya determinado que el actual conflicto Israel-Hamas le beneficia a nivel geopolítico, ya que considera que distrae a occidente de la guerra en Ucrania. MTAC, siguiendo tácticas habituales del cuaderno de estrategias de influencia establecido de Rusia, considera que estos actores continuarán enviando propaganda y aprovechando otros eventos internacionales significativos para provocar tensión e intentar reducir la capacidad occidental de contrarrestar la invasión Rusia en Ucrania.

La propaganda antiucraniana ha saturado la actividad de influencia Rusa desde antes de la invasión a gran escala en 2022. Sin embargo, en los últimos meses, las redes de influencia prorrusas y afiliadas con Rusia se han centrado en usar vídeo y medios más dinámicos para difundir estos mensajes junto con la suplantación de medios de prestigio para aprovechar su credibilidad. MTAC ha observado dos campañas en curso llevadas a cabo por actores prorrusos desconocidos que implican hacerse pasar por medios de noticias y entretenimiento de primer nivel para difundir contenido de vídeo manipulado. Al igual que en anteriores campañas de propaganda rusas, esta actividad se centra en reflejar al presidente ucraniano Volodymyr Zelensky como un adicto a las drogas corrupto y el apoyo occidental a Kiev como perjudicial para las poblaciones nacionales de esos países. El contenido de ambas campañas busca consistentemente disminuir el apoyo a Ucrania, pero se adapta a narrativas que se alinean con los eventos de noticias emergentes para alcanzar a una audiencia más amplia, como la imposición del submarino Titan en junio de 2023 o el conflicto Israel-Hamas.

Diagrama que muestra información general de los clips de noticias falsos

información general que muestra clips de noticias falsos
Hay más información acerca de esta imagen en la página 11 del informe completo

Uno de estas campañas centradas en vídeos implica una serie de vídeos que difunden narrativas y temas falsos antiucranianos afiliados al Kremlin haciéndose pasar por informes de noticias para medios destacados. MTAC observó primero esta actividad en abril de 2022, cuando los canales prorrusos de Telegram publicaron un vídeo de BBC News falso en el que se afirmaba que el ejército ucraniano era responsable de un ataque con misiles que había matado a decenas de civiles. El vídeo usaba el logotipo, esquema de colores y estética de la BBC, y contaba con subtítulos en inglés con errores comunes resultados de la traducción de lenguas eslavas al inglés.

Esta campaña continuó durante 2022 y se aceleró en el verano de 2023. En el momento de la compilación de este informe. MTAC ha observado más de una decena de vídeos falsos en la campaña, siendo los medios objetivos de estas falsificaciones más frecuentes BBC News, Al Jazeera y EuroNews. Los canales en ruso de Telegram amplificaron primero los vídeos antes de que se difundiesen entre plataformas de redes sociales generales

Capturas de pantalla de vídeos imitando el logotipo y la estética de BBC News (izquierda) y EuroNews (derecha)

Clips de noticias falsos que contienen desinformación alineada con Rusia
Inteligencia contra amenazas Microsoft: Enlaces de noticias falsas sobre el fracaso militar ucraniano, el ataque de HAMAS y la responsabilidad falsa de Israel
Clips de noticias falsos que contienen desinformación alineada con Rusia. Capturas de pantalla de vídeos imitando el logotipo y la estética de BBC News (izquierda) y EuroNews (derecha). Más información sobre esta imagen en la página 12 del informe completo

Aunque este contenido tiene un alcance limitado, podrá representar una amenaza considerable para futuros objetivos si se refina o mejora con la tecnología de la IA o se amplifica mediante un mensajero más fiable. El actor prorruso responsable de los clips de noticias falsos tiene en cuenta los eventos mundiales actuales. Por ejemplo, un vídeo falso de BBC News afirmaba que la organización te periodismo investigativo Bellingcat había descubierto que las armas usadas por los militantes de Hamas habían sido vendidas al grupo por oficiales militares ucranianos a través del mercado negro. El contenido de este vídeo imitó minuciosamente declaraciones públicas realizadas por el antiguo presidente ruso Dmitry Medvedev solo un día antes de la publicación del vídeo, lo que demuestra la fuerte alineación de la campaña con los mensajes públicos del gobierno ruso.23

A partir de julio del 2023, los canales de medios sociales prorrusos empezaron a difundir vídeos de personas famosas editados para promover propaganda antiucraniana. Los vídeos (creados por un actor de influencia alineado con Rusia desconocido) parecen aprovechar Cameo, un sitio web popular en el que los famosos y otras figuras públicas pueden grabar y enviar mensajes de vídeo personalizados para aquellos usuarios que pagan una tarifa. Los mensajes de video cortos, que suelen contar con famosos pidiendo a "Vladimir" que busque ayuda para luchar contra la adicción a las substancias, fueron editados por un actor desconocido para incluir emojis y enlaces. Los vídeos circularon a través de comunidades de redes sociales prorrusas y fueron amplificados por medios estatales y afiliados al estado ruso, que falsificaron mensajes hacia el presidente ucraniano Volodymyr Zelensky. En algunos casos, el actor añadió logotipos de medios y nombres de usuarios de redes sociales de famosos para hacer que el vídeo pareciese proceder de clips de noticias hablando de supuestas peticiones públicas de famosos a Zelensky o las propias publicaciones en redes sociales de los famosos. Los oficiales del Kremlin y la propaganda patrocinada por el estado ruso han promocionado desde hace tiempo la narrativa falsa de que el presidente Zelensky es adicto a las drogas, sin embargo, esta campaña representa un enfoque novedoso por parte de actores rusos que buscan ampliar la narrativa en el espacio de información online.

El primer vídeo de la campaña, observado a finales de julio, cuenta con emojis de banderas ucranianos, marcas de agua del medio estadounidense TMZ y enlaces a un centro de recuperación de adicciones y una de las páginas en redes sociales oficiales del presidente Zelensky. A finales de octubre de 2023, los canales de redes sociales prorrusos habían difundido seis vídeos adicionales. En particular, el 17 de agosto, el medio estatal ruso RIA Novosti publicó un artículo en el que se trataba un vídeo en el que aparecía el actor americano John McGinley como si fuese una petición auténtica de McGinley a Zelensky.24 Además de McGinley, los famosos cuyo contenido aparece en la campaña incluyen los actores Elijah Wood, Dean Norris, Kate Flannery y Priscilla Presley; el músico Shavo Odadjian y el boxeador Mike Tyson. Otros medios afiliados al estado ruso, incluido el medio sancionado por los EE. UU Tsargrad, han amplificado el contenido de esta campaña.25

Imágenes fijas de vídeos en los que aparecen famosos que parecen promocionar propaganda prorrusa

imágenes fijas de vídeos en los que aparecen famosos que parecen promocionar propaganda prorrusa
Más información sobre esta imagen en la página 12 del informe completo

Los soldados rusos están pasando a una nueva fase de guerra de trincheras estática, de acuerdo con el jefe militar ucraniano, lo que sugiere que el conflicto se prologará aún más.26 Kiev necesitará un suministro constante de armas y apoyo popular para continuar la resistencia, y es probable que veamos a los actores de ciberataques influencia rusos intensificar sus esfuerzos para desmoralizar a la población ucraniana y degradar las fuentes externas de ayuda financiera y militar de Kiev.

A medida que se acerca el invierno, es posible que veamos ataques militares dirigidos a centrales hidráulicas y energéticas en Ucrania, combinados con ataques destructivos a sus redes.27 Las autoridades de ciberseguridad ucranianas de CERT-UA anunciaron en septiembre que las redes energéticas ucranianas estaban bajo amenaza constante, e Inteligencia contra amenazas Microsoft observó artefactos de actividad de amenaza de GRU en las redes del sector energético ucraniano entre agosto y octubre.28 Microsoft observó al menos un uso destructivo de la utilidad Sdelete contra la red de una empresa energética ucraniana en agosto.29

Fuera de Ucrania, la elección presidencia estadounidense y otros eventos políticos importantes de 2024 pueden ofrecer a los actores de amenaza de influencias una oportunidad de dar uso a sus aptitudes con vídeos e IA para debilitar a aquellos candidatos que dan su apoyo a Ucrania.30

Microsoft trabaja en múltiples frentes para proteger a sus clientes en Ucrania y todo el mundo frente a estas amenazas multifaceta. Bajo nuestra Iniciativa por un futuro seguro, estamos integrando avances en ingeniería de software segura y ciberdefensa impulsados por la IA para fortalecer las normativas internacionales y proteger a los civiles frente a las ciberamenazas. 31También estamos implementando recursos con un conjunto fundamental de principios para proteger a los votantes, candidatos, campañas y autoridades electorales de todo el mundo, en un año en el que más de 2 mil millones de personas se preparan para participar en procesos democráticos.32

  1. [2]

    Para obtener información técnica sobre los últimos métodos de ataque destructivos en Ucrania, consulta  https://go.microsoft.com/fwlink/?linkid=2262377

  2. [8]

    Basado en notificaciones emitidas entre el 15 de marzo de 2023 y el 23 de octubre de 2023. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  6. [29]

    Para obtener información técnica https://go.microsoft.com/fwlink/?linkid=2262377

Artículos relacionados

Las amenazas digitales procedentes de Asia Oriental aumentan en amplitud y eficacia

Profundiza y explora las tendencias emergentes en el cambiante panorama de las amenazas en Asia Oriental, donde China lleva a cabo operaciones cibernéticas y de influencia generalizadas, mientras que los actores de amenazas cibernéticas de Corea del Norte demuestran una sofisticación cada vez mayor.

Irán recurre a las operaciones de influencia cibernética para lograr un mayor efecto

Inteligencia contra amenazas Microsoft descubrió un aumento de las operaciones de influencia cibernética desde Irán. Obtén información sobre amenazas con detalles sobre nuevas técnicas y posibles amenazas futuras.

Las operaciones cibernéticas y de influencia de la guerra en el campo de batalla digital de Ucrania

Inteligencia contra amenazas de Microsoft examina un año de operaciones cibernéticas y de influencia en Ucrania, descubre nuevas tendencias en ciberamenazas y qué esperar cuando la guerra entra en su segundo año.

Seguir a Seguridad de Microsoft