Trace Id is missing

Mismos objetivos, nuevos cuadernos de estrategias: Los actores de amenazas del Este de Asia emplean métodos únicos

Descargar
Compartir
Ilustración abstracta de un barco naval con círculos gráficos rojos y red negra sobre fondo rosa.

Microsoft ha observado varias tendencias cibernéticas y de influencia notables por parte de China y Corea del Norte desde junio de 2023 que demuestran no solo que redoblan la apuesta por objetivos conocidos, sino que también intentan utilizar técnicas de influencia más sofisticadas para lograr sus objetivos.

En los últimos siete meses, los actores cibernéticos chinos han seleccionado a grandes rasgos tres áreas objetivo:

  • Un grupo de actores chinos se dirigió ampliamente a entidades de las islas del Pacífico Sur.
  • Un segundo grupo de actividades chinas prosiguió una serie de ciberataques contra adversarios regionales en el Mar de China Meridional.
  • Mientras tanto, un tercer grupo de actores chinos puso en peligro la base industrial de defensa estadounidense.

Los actores de influencia chinos, en lugar de ampliar el alcance geográfico de sus objetivos, perfeccionaron sus técnicas y experimentaron con nuevos medios. Las campañas de influencia chinas siguieron perfeccionando el contenido generado o mejorado por IA. Los actores influyentes que están detrás de estas campañas han mostrado su disposición tanto a desarrollar medios generados por la IA que sirvan a su estrategia, como a crear sus propios vídeos, memes y contenidos de audio. Estas tácticas se han utilizado en campañas que han avivado las divisiones dentro de Estados Unidos y exacerbado las fisuras en la región de Asia-Pacífico, incluidos Taiwán, Japón y Corea del Sur. Estas campañas lograron distintos niveles de resonancia, sin que ninguna fórmula en particular consiguiera atraer al público de forma constante.

Los actores cibernéticos norcoreanos fueron noticia por el aumento de los ataques a la cadena de suministro de software y los robos de criptomonedas durante el año pasado. Aunque las campañas estratégicas de phishing de objetivo definido dirigidas a investigadores que estudian la península coreana siguieron siendo una tendencia constante, los actores de amenazas norcoreanos parecían hacer un mayor uso del software legítimo para comprometer a un número aún mayor de víctimas.

Gingham Typhoon tiene como objetivo las entidades gubernamentales, de TI y multinacionales de las islas del Pacífico Sur

Durante el verano de 2023, Inteligencia contra amenazas Microsoft observó una amplia actividad del grupo de espionaje Gingham Typhoon, con sede en China, dirigida a casi todos los países insulares del Pacífico Sur. Gingham Typhoon es el actor más activo en esta región, atacando a organizaciones internacionales, entidades gubernamentales y al sector de TI con complejas campañas de phishing. Entre las víctimas también había críticos del gobierno chino.

Entre los aliados diplomáticos de China víctimas de la reciente actividad de Gingham Typhoon figuran oficinas ejecutivas del gobierno, departamentos relacionados con el comercio, proveedores de servicios de Internet, así como una entidad de transportes.

El aumento de la competencia geopolítica y diplomática en la región puede motivar estas actividades cibernéticas ofensivas. China busca asociaciones estratégicas con las naciones insulares del Pacífico Sur para ampliar sus lazos económicos y negociar acuerdos diplomáticos y de seguridad. El ciberespionaje chino en esta región también persigue a los asociados económicos.

Por ejemplo, algunos actores chinos han atacado a gran escala a organizaciones multinacionales en Papúa Nueva Guinea, un antiguo asociado diplomático que se está beneficiando de varios proyectos de la Iniciativa de la Franja y la Ruta (BRI), como la construcción de una gran autopista que une un edificio del Gobierno de Papúa Nueva Guinea con la carretera principal de la capital.1

Mapa que ilustra la frecuencia de las ciberamenazas dirigidas en las naciones insulares del pacífico, con círculos más grandes
Ilustración 1: Eventos observados de Gingham Typhoon de junio de 2023 a enero de 2024. Esta actividad destaca su enfoque continuado en las naciones insulares del sur del Pacífico. Sin embargo, muchos de estos ataques han sido continuados, lo que refleja su enfoque a lo largo del año en esta región. Las ubicaciones geográficas y el diámetro de la simbología son representativos.

Los actores de amenazas chinos siguen centrados en el Mar de China Meridional en el contexto de las maniobras militares occidentales

Los actores de amenazas con base en China siguieron atacando a entidades relacionadas con los intereses económicos y militares de China en el Mar de China Meridional y sus alrededores. Estos actores comprometieron de forma oportunista a víctimas gubernamentales y de las telecomunicaciones en la Asociación de Naciones del Sudeste Asiático (ASEAN). Los ciberactores chinos afiliados al Estado parecían especialmente interesados en objetivos relacionados con los numerosos simulacros militares estadounidenses llevados a cabo en la región. En junio de 2023, Raspberry Typhoon, un grupo de actividad de un Estado nación con base en China, atacó con éxito entidades militares y ejecutivas de Indonesia y un sistema marítimo de Malasia en las semanas previas a un ejercicio naval multilateral poco habitual en el que participaron Indonesia, China y Estados Unidos.

Del mismo modo, otro actor cibernético chino, Flax Typhoon, atacó entidades relacionadas con las maniobras militares entre Estados Unidos y Filipinas. Mientras tanto, Granite Typhoon, otro actor de amenazas con base en China, comprometió principalmente entidades de telecomunicaciones de la región durante este periodo, con víctimas en Indonesia, Malasia, Filipinas, Camboya y Taiwán.

Desde la publicación del blog de Microsoft sobre Flax Typhoon, Microsoft ha observado nuevos objetivos de Flax Typhoon en Filipinas, Hong Kong, India y Estados Unidos a principios de otoño e invierno de 2023.2 Este actor también ataca con frecuencia al sector de las telecomunicaciones, lo que a menudo provoca numerosos efectos derivados.

Mapa que muestra los datos de Inteligencia contra amenazas Microsoft sobre las regiones más atacadas de Asia,
Ilustración 2: Acontecimientos observados dirigidos contra países del Mar de China Meridional o sus alrededores por parte de Flax Typhoon, Granite Typhoon o Raspberry Typhoon. Las ubicaciones geográficas y el diámetro de la simbología son representativos.

Nylon Typhoon compromete a entidades de asuntos exteriores de todo el mundo

El actor de amenazas Nylon Typhoon, con base en China, ha continuado con su larga práctica de atacar entidades de asuntos exteriores en países de todo el mundo. Entre junio y diciembre de 2023, Microsoft observó a Nylon Typhoon en entidades gubernamentales de Sudamérica, incluyendo Brasil, Guatemala, Costa Rica y Perú. También se observó al actor de amenaza en Europa, comprometiendo entidades gubernamentales en Portugal, Francia, España, Italia y el Reino Unido. Aunque la mayoría de los objetivos europeos eran entidades gubernamentales, algunas empresas de TI también se vieron comprometidas. El objetivo de estas entidades es la recopilación de información.

Un grupo de amenazas chino ataca entidades militares e infraestructuras críticas en Estados Unidos

Por último, Storm-0062 aumentó su actividad durante el otoño y el invierno de 2023. Gran parte de esta actividad compromete a entidades gubernamentales estadounidenses relacionadas con la defensa, incluidos contratistas que prestan servicios técnicos de ingeniería en torno al sector aeroespacial, la defensa y los recursos naturales fundamentales para la seguridad nacional de Estados Unidos. Además, Storm-0062 se dirigió en repetidas ocasiones a entidades militares de Estados Unidos; sin embargo, no está claro si el grupo tuvo éxito en sus intentos de compromiso.

La base industrial de defensa estadounidense también sigue siendo un objetivo continuo de Volt Typhoon. En mayo de 2023, Microsoft atribuyó los ataques a organizaciones de infraestructuras críticas estadounidenses a Volt Typhoon, un actor patrocinado por el Estado con sede en China. Volt Typhoon accedió a las redes de las organizaciones con técnicas de "living-off-the-land" y actividades "hands-on-keyboard".3 Estas tácticas permitieron a Volt Typhoon mantener sigilosamente el acceso no autorizado a las redes objetivo. De junio de 2023 a diciembre de 2023, Volt Typhoon continuó atacando infraestructuras críticas, pero también persiguió el desarrollo de recursos comprometiendo dispositivos SOHO (small office home office) en todo Estados Unidos.

En nuestro informe de septiembre de 2023, detallábamos cómo las operaciones de influencia (OI) chinas habían empezado a utilizar la IA generativa para crear contenido visual elegante y atractivo. A lo largo del verano, Inteligencia contra amenazas Microsoft continuó identificando memes generados por IA dirigidos a Estados Unidos que amplificaban cuestiones nacionales controvertidas y criticaban a la administración actual. Los actores de operaciones de influencia vinculados a China han seguido utilizando medios de comunicación mejorados y generados por IA (en adelante, "contenido basado en IA") en campañas de influencia con un volumen y una frecuencia cada vez mayores a lo largo del año.

La IA progresa (pero no logra imponerse)

El más prolífico de estos actores que usa contenido basado en IA es Storm-1376, nombre con el que Microsoft designa al actor vinculado al Partido Comunista Chino (PCC) conocido comúnmente como "Spamouflage" o "Dragonbridge". En invierno, otros actores vinculados al PCC empezaron a utilizar una gama más amplia de contenido basado en IA para aumentar las operaciones de influencia en línea. Ello incluyó un notable aumento de contenido protagonizado por figuras políticas taiwanesas antes de las elecciones presidenciales y legislativas del 13 de enero. Esta ha sido la primera vez que Inteligencia contra amenazas Microsoft ha sido testigo de cómo un agente de un Estado nación utilizaba contenido basado en IA para intentar influir en unas elecciones extranjeras.

Audio generado por IA: El día de las elecciones en Taiwán, Storm-1376 publicó clips de audio presuntamente generados por IA y relativos al propietario de Foxconn, Terry Gou, candidato independiente a las elecciones presidenciales de Taiwán, que se retiró de la carrera en noviembre de 2023. Las grabaciones de audio mostraban la voz de Gou respaldando a otro candidato en la carrera a la presidencia. Es probable que la voz de Gou en las grabaciones sea generada por IA, ya que Gou no hizo tal declaración. YouTube actuó rápidamente contra este contenido antes de que llegara a un número significativo de usuarios. Estos vídeos aparecieron días después de que circulara por Internet una carta falsa de Terry Gou apoyando al mismo candidato. Las principales organizaciones taiwanesas de verificación de hechos desacreditaron la carta. La campaña de Gou también declaró que la carta no era real y que emprenderían acciones legales en respuesta.4 Gou no apoyó formalmente a ningún candidato a la presidencia.
Un hombre vestido de traje habla en un podio con texto en chino y un gráfico de una forma de onda de audio en primer plano.
Ilustración 3: Los vídeos publicados por Storm-1376 utilizaban grabaciones de voz de Terry Gou generadas por inteligencia artificial para que pareciera que apoyaba a otro candidato.
Presentadores generados por IA: Los presentadores de noticias generados por inteligencia artificial por terceras empresas tecnológicas, utilizando la herramienta Capcut de la empresa china ByteDance, aparecieron en diversas campañas protagonizadas por funcionarios taiwaneses,5 así como en mensajes sobre Myanmar. Storm-1376 ha hecho uso de estos presentadores de noticias generados por IA al menos desde febrero de 2023,6 pero el volumen de su contenido con estos presentadores ha aumentado en los últimos meses.
Collage de un vehículo militar
Ilustración 4: Storm-1376 publicó vídeos en mandarín e inglés alegando que Estados Unidos y la India eran responsables de los disturbios en Myanmar. En algunos de estos vídeos se utiliza el mismo anclaje generado con IA.
Vídeos mejorados con IA: Según revelaron el gobierno de Canadá y otros investigadores, en una campaña dirigida a diputados canadienses se utilizaron vídeos mejorados con IA en los que aparecía un disidente chino residente en Canadá.7 Estos vídeos, que eran solo una parte de una campaña multiplataforma que incluía el acoso a políticos canadienses en sus cuentas de redes sociales, mostraban falsamente al disidente haciendo comentarios incendiarios sobre el gobierno canadiense. Anteriormente ya se habían utilizado contra este disidente vídeos similares mejorados con inteligencia artificial.
Una persona sentada en un escritorio
Ilustración 5: Vídeos deepfake basados en IA en los que el disidente habla de forma despectiva sobre la religión. Aunque utilizan tácticas similares a las de la campaña de Canadá, estos vídeos parecen no tener nada que ver en cuanto a contenido.
Memes generados por IA: Storm-1376 promovió en diciembre una serie de memes generados por IA del entonces candidato presidencial del Partido Progresista Democrático (PDP) de Taiwán, William Lai, con una cuenta atrás en la que se señalaban "X días" para sacar al PDP del poder.
Representación gráfica con dos imágenes una al lado de la otra, una con una figura con una x roja y la otra con la misma figura sin marcar.
Ilustración 6: Unos memes generados por IA acusan al candidato presidencial del Partido demócrata progresista (PDP), William Lai, de malversar fondos del Programa taiwanés de desarrollo de infraestructuras con visión de futuro. Estos memes mostraban caracteres simplificados (utilizados en la RPC pero no en Taiwán) y formaban parte de una serie que mostraba una "cuenta atrás diaria para sacar al PDP del poder".
Infografía de una línea de tiempo que muestra la influencia del contenido generado por IA en las elecciones de taiwán de diciembre de 2023 a enero de 2024.
Ilustración 7: Una línea de tiempo de contenidos generados y mejorados por IA que aparecieron en el periodo previo a las elecciones presidenciales y parlamentarias de Taiwán de enero de 2024. Storm-1376 amplificó varios de estos contenidos y fue responsable de la creación de contenido en dos campañas.

Storm-1376 sigue enviando mensajes reactivos, a veces con narrativas conspirativas

Storm-1376, un actor cuyas operaciones de influencia se extienden a más de 175 sitios web y 58 idiomas, ha seguido organizando con frecuencia campañas de mensajes reactivos en torno a acontecimientos geopolíticos de gran repercusión, en particular los que muestran una imagen desfavorable de Estados Unidos o favorecen los intereses del PCC en la región de APAC. Desde nuestro último informe de septiembre de 2023, estas campañas han evolucionado en varios aspectos importantes, como la incorporación de fotos generadas por inteligencia artificial para engañar al público, el fomento de contenido conspirativo, en particular contra el gobierno de Estados Unidos, y la focalización en nuevas poblaciones, como Corea del Sur, con contenido localizado.

1. Afirman que un "arma meteorológica" del gobierno de EE. UU. provocó los incendios forestales de Hawái

En agosto de 2023, mientras los incendios forestales asolaban la costa noroeste de Maui (Hawái), Storm-1376 aprovechó la oportunidad para difundir narrativas conspirativas en múltiples plataformas de redes sociales. Estos mensajes alegaban que el gobierno estadounidense había provocado deliberadamente los incendios para probar un "arma meteorológica" de uso militar. Además de publicar el texto en al menos 31 idiomas a través de docenas de sitios web y plataformas, Storm-1376 utilizó imágenes generadas por IA de carreteras costeras y residencias en llamas para hacer más llamativo el contenido.8

Una imagen compuesta con un sello "falso" sobre escenas de dramáticos incendios.
Ilustración 8: Storm-1376 publica contenido conspirativo a los pocos días del estallido de los incendios forestales, y alega que los incendios fueron el resultado de las pruebas de un "arma meteorológica" del gobierno de EE. UU. Estas publicaciones solían ir acompañadas de fotografías de incendios masivos generadas con IA.

2. Ampliar la indignación por el vertido de aguas residuales nucleares de Japón

Storm-1376 lanzó una agresiva campaña de mensajes a gran escala criticando al gobierno japonés después de que Japón comenzara a verter aguas residuales radiactivas tratadas en el Océano Pacífico el 24 de agosto de 2023.9 El contenido de Storm-1376 ponía en duda la evaluación científica del Organismo Internacional de Energía Atómica (OIEA) de que el vertido era seguro. Storm-1376 envió mensajes indiscriminados a través de las redes sociales en numerosos idiomas, entre ellos japonés, coreano e inglés. Algún contenido incluso acusó a Estados Unidos de envenenar a propósito a otros países para mantener la "hegemonía del agua". El contenido utilizado en esta campaña lleva el sello de la generación de IA.

En algunos casos, Storm-1376 recicló contenido utilizado por otros actores del ecosistema propagandístico chino, incluidas personas influyentes en las redes sociales afiliadas a medios de comunicación estatales chinos.10 Influencers y recursos pertenecientes a Storm-1376 subieron tres vídeos idénticos en los que se criticaba el vertido de aguas residuales de Fukushima. A lo largo de 2023 aumentaron los casos de publicaciones de diferentes actores que utilizaban contenido idéntico aparentemente al mismo tiempo, lo que podría indicar una coordinación o dirección de los mensajes.

Una imagen compuesta con una ilustración satírica de personas, una captura de pantalla de un video que representa a Godzilla y una publicación en redes sociales
Ilustración 9: Memes e imágenes generados por IA que critican la eliminación de aguas residuales de Fukushima de activos encubiertos de OI chinos (izquierda) y funcionarios del gobierno chino (centro). Los "influencers" afiliados a los medios de comunicación estatales chinos también amplificaron los mensajes alineados con el gobierno que criticaban la eliminación (derecha).

3. Fomentar la discordia en Corea del Sur

En relación con el vertido de aguas residuales de Fukushima, Storm-1376 hizo un esfuerzo concertado para dirigirse a Corea del Sur con contenido localizado que amplificaba las protestas que se estaban produciendo en el país contra el vertido, así como contenido crítico con el gobierno japonés. Esta campaña incluyó cientos de mensajes en coreano en múltiples plataformas y sitios web, incluidas las redes sociales surcoreanas Kakao Story, Tistory y Velog.io.11

Como parte de esta campaña dirigida, Storm-1376 amplificó activamente los comentarios y acciones del líder de Minjoo y candidato presidencial fallido en 2022, Lee Jaemyung (이재명, 李在明). Lee criticó la medida de Japón como "terror del agua contaminada" y equivalente a una "Segunda Guerra del Pacífico". También acusó al actual gobierno de Corea del Sur de ser "cómplice al respaldar" la decisión de Japón e inició una huelga de hambre en protesta que duró 24 días.12

Cómic de cuatro viñetas que aborda la contaminación medioambiental y su impacto en la vida marina.
Ilustración 10: Los memes en coreano de la plataforma de blogs surcoreana Tistory amplifican la discordia sobre el vertido de aguas residuales de Fukushima.

4. Descarrilamiento de Kentucky

Durante las vacaciones de Acción de Gracias de noviembre de 2023, un tren que transportaba azufre fundido descarriló en el condado de Rockcastle, Kentucky. Aproximadamente una semana después del descarrilamiento, Storm-1376 lanzó una campaña en las redes sociales que amplificó el descarrilamiento, difundió teorías conspirativas contra el gobierno estadounidense y puso de relieve las divisiones políticas entre los votantes estadounidenses, fomentando en última instancia la desconfianza y la desilusión con el gobierno de Estados Unidos. Storm-1376 instó al público a considerar si el gobierno de EE.UU. puede haber causado el descarrilamiento y está "ocultando algo deliberadamente".13 Algunos mensajes incluso comparaban el descarrilamiento con las teorías de encubrimiento del 11-S y Pearl Harbor.14

Las identidades falsas chinas de operaciones de influencia buscan puntos de vista sobre temas políticos de EE. UU.

En nuestro informe de septiembre de 2023, destacamos cómo cuentas de redes sociales afiliadas al PCC han comenzado a suplantar a votantes estadounidenses haciéndose pasar por estadounidenses de todo el espectro político y respondiendo a comentarios de usuarios auténticos.15 Estos esfuerzos por influir en las elecciones estadounidenses de mitad de mandato de 2022 constituyen una primicia en cuanto a operaciones de influencia chinas.

El Centro de Análisis de Amenazas de Microsoft (MTAC) ha observado un pequeño pero constante aumento de cuentas adicionales de identidades falsas que, según nuestras estimaciones, están dirigidas por el PCC. En X (antes Twitter), estas cuentas se crearon ya en 2012 o 2013, pero no empezaron a publicar bajo sus identidades actuales hasta principios de 2023, lo que sugiere que las cuentas se adquirieron recientemente o se han reutilizado. Estas identidades falsas publican tanto vídeos, memes e infografías de producción propia como contenidos reciclados de otras cuentas políticas de primer plano. Estas cuentas se dedican casi exclusivamente a asuntos internos de Estados Unidos, como el consumo de drogas, las políticas de inmigración y las tensiones raciales, pero a veces comentan temas de interés para China, como el vertido de aguas residuales de Fukushima o los disidentes chinos.

Una captura de pantalla de un ordenador con el texto "Guerra y conflictos, problemas de drogas, relaciones raciales, etc.".
Ilustración 11: A lo largo del verano y el otoño, los personajes y títeres chinos a menudo utilizaban imágenes atractivas (a veces mejoradas mediante IA generativa) en sus publicaciones cuando discutían temas políticos y eventos actuales de Estados Unidos.
Junto a infografías o vídeos de motivación política, estas cuentas suelen preguntar a sus seguidores si están de acuerdo con el tema en cuestión. Algunas de estas cuentas han publicado mensajes sobre varios candidatos a la presidencia y luego han pedido a sus seguidores que comenten si los apoyan o no. Esta táctica puede obedecer al propósito de buscar un mayor compromiso o, posiblemente, de conocer la opinión de los estadounidenses sobre la política del país. Más cuentas de este tipo podrían estar operando para aumentar la recopilación de inteligencia en torno a la demografía electoral clave dentro de Estados Unidos.
Comparación de imágenes en pantalla dividida: a la izquierda un avión militar despegando de un portaaviones y a la derecha un grupo de personas sentadas detrás de una barrera
Ilustración 12: Identidades falsas chinas piden opiniones sobre temas políticos a otros usuarios en X

Los actores de amenazas cibernéticas de Corea del Norte robaron cientos de millones de dólares en criptomoneda, llevaron a cabo ataques a la cadena de suministro de software y atacaron a sus supuestos adversarios de seguridad nacional en 2023. Sus operaciones generan ingresos para el gobierno norcoreano, especialmente para su programa armamentístico, y recopilan información sobre Estados Unidos, Corea del Sur y Japón.16

Infografía que muestra los sectores y países más afectados por las ciberamenazas.
Ilustración 13: Los sectores y países más atacados por Corea del Norte de junio de 2023 a enero de 2024, según los datos de notificación de estados-nación de Inteligencia contra amenazas Microsoft.

Actores cibernéticos norcoreanos saquean una cantidad récord de criptomonedas para generar ingresos para el Estado.

Las Naciones Unidas estiman que los ciberdelincuentes norcoreanos han robado más de 3000 millones de USD en criptomonedas desde 2017.17 Solo en 2023 se produjeron robos por un valor total de entre 600 y 1000 millones de USD. Al parecer, estos fondos robados financian más de la mitad del programa nuclear y de misiles del país, lo que permite la proliferación de armas y las pruebas de Corea del Norte a pesar de las sanciones.18 Corea del Norte realizó numerosas pruebas de misiles y simulacros militares durante el año pasado e incluso lanzó con éxito al espacio un satélite de reconocimiento militar el 21 de noviembre de 2023.19

Los tres actores de amenazas rastreados por Microsoft, Jade Sleet, Sapphire Sleet y Citrine Sleet, son los que más se han centrado en objetivos de criptomoneda desde junio de 2023. Jade Sleet llevaba a cabo grandes robos de criptomoneda, mientras que Sapphire Sleet realizaba operaciones de robo de criptomoneda más pequeñas pero más frecuentes. Microsoft atribuyó a Jade Sleet el robo de al menos 35 millones de USD de una empresa de criptomoneda con sede en Estonia a principios de junio de 2023. Un mes después, Microsoft también atribuyó a Jade Sleet el robo de más de 125 millones de USD de una plataforma de criptomoneda con sede en Singapur. Jade Sleet comenzó a comprometer los casinos de criptomoneda en línea en agosto de 2023.

Sapphire Sleet comprometió sistemáticamente a numerosos empleados, incluidos ejecutivos y desarrolladores de criptomonedas, capital de riesgo y otras organizaciones financieras. Sapphire Sleet también desarrolló nuevas técnicas, como el envío de invitaciones falsas a reuniones virtuales que contenían vínculos a un dominio pirata y el registro de sitios web falsos de búsqueda de empleo. Tras el ataque a la cadena de suministro de 3CX en marzo de 2023, Citrine Sleet atacó una empresa de criptomonedas y recursos digitales con sede en Turquía. La víctima hospedaba una versión vulnerable de la aplicación 3CX vinculada al compromiso de la cadena de suministro.

Los ciberactores norcoreanos amenazan el sector informático con ataques de phishing de objetivo definido y a la cadena de suministro de software

Los actores de la amenaza norcoreana también llevaron a cabo ataques a la cadena de suministro de software de empresas de TI, lo que dio lugar al acceso a clientes posteriores. Jade Sleet utilizó repositorios de GitHub y paquetes npm engañosos en una campaña de suplantación de identidad de objetivo definido de ingeniería social dirigida a empleados de organizaciones tecnológicas y de criptomonedas.20 Los atacantes se hacían pasar por desarrolladores o reclutadores, invitaban a los objetivos a colaborar en un repositorio de GitHub y les convencían para que clonaran y ejecutaran su contenido, que contenía paquetes npm maliciosos. Diamond Sleet llevó a cabo un ataque a la cadena de suministro de una empresa de TI con sede en Alemania en agosto de 2023 y utilizó como arma una aplicación de una empresa de TI con sede en Taiwán para realizar un ataque a la cadena de suministro en noviembre de 2023. Tanto Diamond Sleet como Onyx Sleet aprovecharon la vulnerabilidad CVE-2023- 42793 de TeamCity en octubre de 2023, que permite a un atacante realizar un ataque de ejecución remota de código y obtener el control administrativo del servidor. Diamond Sleet utilizó esta técnica para comprometer a cientos de víctimas en diversos sectores de Estados Unidos y países europeos como el Reino Unido, Dinamarca, Irlanda y Alemania. Onyx Sleet aprovechó esa misma vulnerabilidad para comprometer al menos a 10 víctimas, incluidos un proveedor de software en Australia y una agencia gubernamental en Noruega, y utilizó herramientas posteriores al compromiso para ejecutar cargas útiles adicionales.

Los actores cibernéticos norcoreanos apuntaron a Estados Unidos, Corea del Sur y sus aliados

Los actores de las amenazas norcoreanas siguieron atacando a quienes consideraban sus adversarios en materia de seguridad nacional. Esta actividad cibernética ejemplificaba el objetivo geopolítico de Corea del Norte de contrarrestar la alianza trilateral entre Estados Unidos, Corea del Sur y Japón. Los líderes de los tres países consolidaron esta asociación durante la cumbre de Camp David en agosto de 2023.21 Ruby Sleet y Onyx Sleet continuaron con sus tendencias de atentar contra organizaciones aeroespaciales y de defensa de Estados Unidos y Corea del Sur. Emerald Sleet mantuvo su campaña de reconocimiento y phishing de objetivo definido contra diplomáticos y expertos en la península coreana del gobierno, grupos de reflexión/ONG, medios de comunicación y educación. Pearl Sleet continuó en junio de 2023 sus operaciones dirigidas contra entidades surcoreanas que se relacionan con desertores norcoreanos y activistas centrados en cuestiones de derechos humanos de Corea del Norte. Microsoft considera que el motivo de estas actividades es la recopilación de información.

Actores norcoreanos implementan puertas traseras en software legítimo

Los actores de amenazas norcoreanos también utilizaron puertas traseras en software legítimo, aprovechando las vulnerabilidades del software existente. Durante la primera mitad de 2023, Diamond Sleet utilizó con frecuencia malware VNC engañoso para comprometer a las víctimas. Diamond Sleet también reanudó el uso de malware de lector de PDF engañoso en julio de 2023, técnica que Inteligencia contra amenazas Microsoft analizó en una entrada de blog de septiembre de 2022.22 Ruby Sleet también utilizó probablemente un instalador de puerta trasera de un programa de documentos electrónicos surcoreano en diciembre de 2023.

Corea del Norte utilizó herramientas con tecnología de IA para realizar ciberactividades maliciosas

Los actores de amenazas norcoreanos se están adaptando a la era de la IA. Están aprendiendo a utilizar herramientas basadas en modelos lingüísticos grandes (LLM) de IA para que sus operaciones sean más eficientes y eficaces. Por ejemplo, Microsoft y OpenAI observaron que Emerald Sleet utilizaba LLM para mejorar las campañas de phishing de objetivo dirigido dirigidas a expertos de la península coreana.23 Emerald Sleet utilizó LLM para investigar vulnerabilidades y llevar a cabo operaciones de reconocimiento de organizaciones y expertos centrados en Corea del Norte. Emerald Sleet también empleó LLM para solucionar problemas técnicos, realizar tareas básicas de scripting y redactar contenido para mensajes de phishing de objetivo definido. Microsoft se asoció con OpenAI para deshabilitar las cuentas y los recursos asociados a Emerald Sleet.

China celebrará en octubre el 75 aniversario de la fundación de la República Popular China, y Corea del Norte seguirá impulsando programas clave de armamento avanzado. Entretanto, mientras la población de la India, Corea del Sur y Estados Unidos acude a las urnas, es probable que veamos a actores cibernéticos y de influencia chinos, y en cierta medida a actores cibernéticos norcoreanos, trabajar para atacar estas elecciones.

China, como mínimo, creará y amplificará contenido generado por IA que beneficie sus posiciones en estas elecciones tan mediáticas. Aunque el impacto de este contenido a la hora de influir en el público sigue siendo bajo, la creciente experimentación de China en el aumento de memes, vídeos y audio continuará, y puede resultar eficaz en el futuro. Mientras que los actores cibernéticos chinos llevan mucho tiempo realizando reconocimientos de las instituciones políticas estadounidenses, estamos preparados para ver a los actores de influencia interactuar con los estadounidenses para comprometerse y para investigar potencialmente los puntos de vista sobre la política estadounidense.

Por último, a medida que Corea del Norte se embarca en nuevas políticas gubernamentales y persigue ambiciosos planes de pruebas armamentísticas, podemos esperar robos de criptomoneda cada vez más sofisticados y ataques a la cadena de suministro dirigidos al sector de la defensa, que servirán tanto para dirigir dinero hacia el régimen como para facilitar el desarrollo de nuevas capacidades militares.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出", 1 de enero de 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?", 11 de enero de 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    "Probable campaña de 'Spamouflage' de la RPC dirigida a docenas de diputados canadienses en una campaña de desinformación", octubre de 2023,

  8. [8]
  9. [9]

    Múltiples fuentes han documentado la actual campaña de propaganda del gobierno chino destinada a suscitar la indignación internacional por la decisión de Japón de deshacerse de las aguas residuales nucleares procedentes del accidente nuclear de Fukushima Daiichi de 2011, véase: La campaña de desinformación de China alimenta el enfado por el vertido de agua de Fukushima", 31 de agosto de 2023"Japón, objetivo de la propaganda china y de una campaña encubierta en Internet", 8 de junio de 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operaciones de influencia cibernética Estado nación Informes de estado nación Ingeniería social Actores de amenazas

Artículos relacionados

Las amenazas digitales procedentes de Asia Oriental aumentan en amplitud y eficacia

Profundiza y explora las tendencias emergentes en el cambiante panorama de las amenazas en Asia Oriental, donde China lleva a cabo operaciones cibernéticas y de influencia generalizadas, mientras que los actores de amenazas cibernéticas de Corea del Norte demuestran una sofisticación cada vez mayor.
Más información

Aprovechar la economía de confianza: el fraude de la ingeniería social

Explora un entorno digital en evolución donde la confianza es una moneda de cambio y una vulnerabilidad. Descubre las tácticas de fraude mediante ing que usan más los ciberatacantes y revisa las estrategias que te pueden ayudar a identificar y evitar las amenazas de ingeniería social diseñadas para manipular la naturaleza humana.
Más información

Irán intensifica las operaciones de influencia cibernética en apoyo de Hamás

Descubre los detalles de las operaciones de influencia cibernética de Irán en apoyo de Hamás en Israel. Descubre cómo han progresado las operaciones a lo largo de las distintas fases de la guerra y examina las cuatro tácticas, técnicas y procedimientos de influencia (TTP) que Irán utiliza con más frecuencia.
Más información

Seguir a Seguridad de Microsoft