Trace Id is missing

Digitale bedreigingen uit Oost-Azië nemen toe in de reikwijdte en effectiviteit

Download
Delen
Een persoon die achter een computer zit

Inleiding

Een aantal opkomende trends illustreren een snel veranderend bedreigingslandschap in Oost-Azië, waarbij China zowel wijdverspreide cyber- als beïnvloedingsoperaties uitvoert en Noord-Koreaanse cyberbedreigingsactoren steeds geavanceerder worden.

Ten eerste lijken aan de Chinese staat gerelateerde cyberbedreigingsgroepen zich vooral te focussen op de regio van de Zuid-Chinese Zee en cyberspionage te richten op overheden en andere kritieke entiteiten die dit maritieme gebied omringen. En het feit dat China de Amerikaanse defensiesector als doelwit heeft en de Amerikaanse infrastructuur onderzoekt, duidt erop dat het land concurrentievoordelen probeert te krijgen voor zijn buitenlandse relaties en strategische militaire doelen.

Ten tweede is China het afgelopen jaar effectiever geworden in het betrekken van social media-gebruikers met beïnvloedingsoperaties. Chinese online beïnvloedingscampagnes hebben lange tijd puur op volume vertrouwd om gebruikers te bereiken via netwerken van niet-authentieke social media-accounts. Sinds 2022 hebben China-gerelateerde social media-netwerken echter rechtstreeks gecommuniceerd met authentieke gebruikers op social media, specifieke kandidaten als doelwit genomen in content over Amerikaanse verkiezingen, en zich voorgedaan als Amerikaanse kiezers. Los daarvan heeft China's aan de staat gerelateerde meertalige influencer-initiatief op social media met succes doelgroepen in ten minste 40 talen betrokken en meer dan 103 miljoen volgers vergaard.

Ten derde bleef China het aantal beïnvloedingscampagnes het afgelopen jaar verhogen door mensen via nieuwe talen en nieuwe platforms te bereiken voor een grotere wereldwijde voetafdruk. Op social media zetten campagnes duizenden niet-authentieke accounts in op tientallen websites om memes, video's en berichten in meerdere talen te verspreiden. In online nieuws positioneren de media van de Chinese staat zich op tactvolle en effectieve wijze als de gezaghebbende stem voor internationale gesprekken over China en oefenen ze op verschillende manieren invloed uit via wereldwijde mediakanalen. Eén campagne pushte propaganda van de Communistische Partij van China (CCP) via gelokaliseerde nieuwswebsites die was gericht op de Chinese diaspora in meer dan 35 landen.

En tot slot vormt Noord-Korea – die in tegenstelling tot China geen geavanceerde beïnvloedingsactor is – nog steeds een grote cyberbedreiging. Noord-Korea is nog altijd geïnteresseerd in informatieverzameling en wordt tactisch geavanceerder door onder meer gebruik te maken van trapsgewijze aanvallen op toeleveringsketens en cryptovalutadiefstal.

China's cyberoperaties hernieuwen focus op de Zuid-Chinese Zee en belangrijke industrieën in de Verenigde Staten

Sinds begin 2023 heeft Microsoft Bedreigingsinformatie drie gebieden geïdentificeerd waarop China-gerelateerde cyberbedreigingsactoren zich voornamelijk focussen: de Zuid-Chinese Zee, de industriële basis van de Amerikaanse defensie, en de Amerikaanse kritieke infrastructuur.

Door de Chinese staat gesponsorde aanvallen weerspiegelen strategische doelen in de Zuid-Chinese Zee

Aan de Chinese staat gerelateerde bedreigingsactoren zijn nog altijd geïnteresseerd in de Zuid-Chinese Zee en Taiwan, wat China's grote scala aan economische, politieke en defensie-interesses in deze regio weerspiegelt.1 Conflicterende territoriale claims, toenemende spanningen tussen China en Taiwan en een grotere aanwezigheid van het Amerikaanse leger kunnen allemaal motivaties zijn voor China's offensieve cyberactiviteiten.2

Microsoft heeft Raspberry Typhoon (RADIUM) geïdentificeerd als de voornaamste bedreigingsgroep die landen rondom de Zuid-Chinese Zee aanvalt. Raspberry Typhoon richt zich consistent op overheidsministeries, militaire entiteiten en bedrijfsentiteiten die verbonden zijn met kritieke infrastructuur, met name telecom. Vooral sinds januari 2023 is Raspberry Typhoon erg persistent geweest. Wanneer Raspberry Typhoon overheidsministeries of infrastructuur aanvalt, gebeurt dat meestal door informatieverzameling en malware-uitvoering. In veel landen variëren doelwitten van defensie en informatiegerelateerde ministeries tot economische en handelsgerelateerde ministeries.

Flax Typhoon (Storm-0919) is de meest prominente bedreigingsgroep die het eiland Taiwan als doelwit heeft. Deze groep richt zich voornamelijk op telecommunicatie, onderwijs, informatietechnologie en energie-infrastructuur, meestal door gebruik te maken van een aangepast VPN-apparaat om rechtstreeks een aanwezigheid in het doelnetwerk te creëren. Op dezelfde manier richt Charcoal Typhoon (CHROMIUM) zich op Taiwanese onderwijsinstellingen, energie-infrastructuur en hightech productie. In 2023 richtte zowel Charcoal Typhoon als Flax Typhoon zich op Taiwanese ruimtevaartentiteiten die een contract hadden met het Taiwanese leger.

Kaart van de regio van de Zuid-Chinese Zee met waargenomen gebeurtenissen per land
Afbeelding 1: Waargenomen gebeurtenissen per land in de Zuid-Chinese Zee vanaf januari 2022 tot en met april 2023. Meer informatie over deze afbeelding op pagina 4 in het volledige rapport

Chinese bedreigingsactoren richten aandacht op Guam terwijl VS een basis voor Korps Mariniers bouwt

Meerdere bedreigingsgroepen in China blijven de industriële basis van de Amerikaanse defensie aanvallen, namelijk Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) en Mulberry Typhoon (MANGANESE). Hoewel de doelwitten van deze drie groepen soms overlappen, zijn het afzonderlijke actoren met verschillende capaciteiten en infrastructuur.3

Circle Typhoon voert vele verschillende cyberactiviteiten uit tegen de industriële basis van de Amerikaanse defensie, waaronder bronontwikkeling, verzameling, initiële toegang en referentietoegang. Circle Typhoon maakt vaak gebruik van VPN-apparaten om zich op IT- en VS-gebaseerde defensie-aannemers te richten. Volt Typhoon heeft ook een verkenning uitgevoerd naar talrijke defensie-aannemers in de VS. Guam is een van de meest frequente doelwitten van deze campagnes, vooral de satellietcommunicatie- en telecommunicatie-entiteiten die daar zijn gevestigd.4

Een tactiek die Volt Typhoon vaak gebruikt, omvat het compromitteren van routers in kleine kantoren en thuiskantoren, meestal met als doel om infrastructuur te bouwen.5 Mulberry Typhoon heeft zich ook gericht op de industriële basis van de Amerikaanse defensie, met name met een zero-day-aanval op apparaten.6 Dat Guam steeds vaker het doelwit is, is veelbetekenend omdat het het dichtstbijzijnde Amerikaanse territorium bij Oost-Azië is en cruciaal is voor de Amerikaanse strategie in de regio.

Chinese bedreigingsgroepen richten zich op Amerikaanse kritieke infrastructuur

Microsoft heeft de afgelopen zes maanden aan de Chinese staat gerelateerde bedreigingsgroepen geobserveerd die zich richten op Amerikaanse kritieke infrastructuur in meerdere sectoren en aanzienlijke bronontwikkeling. Volt Typhoon is ten minste sinds de zomer van 2021 de voornaamste groep achter deze activiteit, en de omvang van deze activiteit is nog steeds niet helemaal bekend.

Getroffen sectoren zijn onder meer transport (zoals havens en spoorwegen), nutsvoorzieningen (zoals energie en waterzuivering), medische infrastructuur (waaronder ziekenhuizen) en telecommunicatie-infrastructuur (waaronder satellietcommunicatie en glasvezelsystemen). Microsoft stelt vast dat deze campagne China capaciteiten zou kunnen geven om kritieke infrastructuur en communicatie tussen de Verenigde Staten en Azië te verstoren.7

Bedreigingsgroep in China heeft ongeveer 25 organisaties als doelwit, waaronder Amerikaanse overheidsentiteiten

Op 15 mei begon Storm-0558, een bedreigingsactor in China, vervalste verificatietokens te gebruiken om toegang tot e-mailaccounts van Microsoft-klanten te krijgen bij ongeveer 25 organisaties, waaronder Amerikaanse en Europese overheidsentiteiten.8 Microsoft heeft deze campagne succesvol geblokkeerd. Het doel van de aanval was onbevoegde toegang tot e-mailaccounts te krijgen. Microsoft stelt vast dat deze activiteit consistent was met de spionagedoelen van Storm-0558. Storm-0558 had eerder al Amerikaanse en Europese diplomatieke entiteiten als doelwit.

China heeft ook zijn strategische partners als doelwit

Naarmate China zijn bilaterale relaties en wereldwijde partnerschappen heeft uitgebreid via het Belt and Road Initiative (BRI), hebben aan de Chinese staat gerelateerde bedreigingsactoren parallelle cyberoperaties uitgevoerd tegen particuliere en openbare entiteiten over de hele wereld. Bedreigingsgroepen in China richten zich op landen die zijn afgestemd op de BRI-strategie van de CCP, waaronder entiteiten in Kazachstan, Namibië, Vietnam en meer.9 Ondertussen is wijdverspreide Chinese bedreigingsactiviteit consistent gericht op buitenlandse ministeries in heel Europa, Latijns-Amerika en Azië – waarschijnlijk met economische spionage of informatieverzameling als doel.10 Naarmate China zijn wereldwijde invloed uitbreidt, zullen activiteiten van gerelateerde bedreigingsgroepen volgen. Zo recentelijk als april 2023 was Twill Typhoon (TANTALUM) succesvol in het compromitteren van overheidscomputers in Afrika en Europa, evenals wereldwijde humanitaire organisaties.

CCP-gerelateerde social media-operaties vergroten effectieve betrokkenheid met doelgroepen

CCP-gerelateerde heimelijke beïnvloedingsoperaties betrekken nu met succes doelgroepen op social media in een grotere mate dan eerder is waargenomen, wat laat zien dat online beïnvloedingsmiddelen meer geavanceerd en ontwikkeld zijn. Vóór de Amerikaanse tussentijdse verkiezingen in 2022 zagen Microsoft en branchepartners hoe CCP-gerelateerde social media-accounts Amerikaanse kiezers imiteerden – nieuw territorium voor CCP-gerelateerde beïnvloedingsoperaties.11 Deze accounts deden zich voor als Amerikanen in het politieke spectrum en reageerden op opmerkingen van authentieke gebruikers.

Deze accounts tonen zowel qua gedrag als content veel goed gedocumenteerde Chinese tactieken, technieken en procedures (TTP's) voor beïnvloedingsoperaties. Voorbeelden omvatten: accounts die aanvankelijk in het Mandarijns posten voordat ze naar een andere taal overschakelen, onmiddellijk na het plaatsen van een post reageren op content van andere China-gerelateerde beïnvloedingsmiddelen, en een 'zaaien en aanwakkeren' patroon van interactie gebruiken.12 In tegenstelling tot eerdere beïnvloedingscampagnes van CCP-gerelateerde actoren die gemakkelijk te identificeren computergegenereerde handles, weergavenamen en profielfoto's gebruikten13, worden deze geavanceerdere accounts gerund door echte mensen die fictieve of gestolen identiteiten gebruiken om te verhullen dat de accounts aan de CCP gerelateerd zijn.

Social media-accounts in dit netwerk vertonen gelijksoortig gedrag als activiteit die naar zeggen wordt uitgevoerd door een elitegroep in het ministerie van Openbare Veiligheid die de 912 Special Project Working Group heet. Volgens het Amerikaanse Department of Justice runde de groep een social media troll farm die duizenden valse online personages creëerde en CCP-propaganda pushte die op pro-democratie-activisten was gericht.

Sinds ongeveer maart 2023 maken een aantal verdachte Chinese beïnvloedingsmiddelen op westerse social media gebruik van generatieve Artificial Intelligence (AI) om visuele content te creëren. Deze relatief hoogwaardige visuele content heeft al voor meer betrokkenheid van authentieke social media-gebruikers gezorgd. Deze afbeeldingen bevatten de kenmerken van uitvoerige afbeeldingsgeneratie en vallen meer in het oog dan de klungelige visuele content van vorige campagnes. Gebruikers hebben deze visuals vaker gerepost, ondanks duidelijke indicaties van AI-generatie – bijvoorbeeld meer dan vijf vingers aan iemands hand.14

Socialemediaposts naast elkaar met identieke Black Lives Matter-afbeeldingen.
Afbeelding 2: Een Black Lives Matter-afbeelding die eerst door een CCP-gerelateerd geautomatiseerd account werd geüpload, werd zeven uur later geüpload door een account dat zich voordeed als een Amerikaanse conservatieve kiezer.
Een AI-gegenereerde propaganda-afbeelding van het Vrijheidsbeeld.
Afbeelding 3: Voorbeeld van een AI-gegenereerde afbeelding die door een verdacht Chinees beïnvloedingsmiddel is gepost. De hand van het Vrijheidsbeeld die de fakkel vasthoudt, heeft meer dan vijf vingers. Meer informatie over deze afbeelding op pagina 6 in het volledige rapport.
Matrix van vier categorieën beïnvloeders (journalisten, lifestyle-beïnvloeders, collega's en etnische minderheden) over een continuüm variërend van openlijk tot heimelijk
Afbeelding 4: Dit initiatief omvat influencers die in vier brede categorieën vallen, namelijk hun achtergrond, doelgroep, werving en beheerstrategie. Alle individuen die in onze analyse zijn opgenomen, hebben een directe band met media van de Chinese staat (zoals via werk of acceptatie van reisuitnodigingen of andere gelduitwisseling). Meer informatie over deze afbeelding op pagina 7 in het volledige rapport.

Het influencer-initiatief van de Chinese staatsmedia

Nog een strategie die voor betekenisvolle betrokkenheid op social media zorgt, is het concept van 'meertalige internetberoemdheidsstudio's' (多语种网红工作室) van de CCP.15 Door de kracht van authentieke stemmen te benutten, doen meer dan 230 medewerkers en partners van de staatsmedia zich voor als onafhankelijke social media-influencers op alle grote westerse social media-platforms.16 In 2022 en 2023 maken nieuwe influencers gemiddeld elke zeven weken hun debuut. Deze influencers worden geworven, getraind, gepromoot en gefinancierd door China Radio International (CRI) en andere Chinese staatsmediakanalen en verspreiden deskundig gelokaliseerde CCP-propaganda die voor betekenisvolle betrokkenheid met doelgroepen over de hele wereld zorgt, voor een totaal van ten minste 103 miljoen volgers op meerdere platforms die ten minste 40 talen spreken.

Hoewel influencers voornamelijk onschuldige lifestylecontent posten, verhult deze techniek CCP-propaganda die China's reputatie in het buitenland wil verzachten.

De strategie voor influencer-werving voor de Chinese staatsmedia lijkt twee afzonderlijke groepen individuen te benaderen: degenen met ervaring in journalistiek (met name bij staatsmediakanalen), en degenen die recentelijk zijn afgestudeerd in een vreemde taal. Vooral China Media Group (het moederbedrijf van CRI en CGTN) lijkt afgestudeerden rechtstreeks te werven bij Chinese topscholen voor vreemden talen zoals Beijing Foreign Studies University en de Communication University of China. Degenen die niet rechtstreeks worden geworven bij universiteiten zijn vaak voormalige journalisten en vertalers, die expliciete indicaties van relaties met de staatsmedia uit hun profiel verwijderen na hun 'rebranding' als influencer.

De Laotiaans sprekende beïnvloeder Song Siao post een lifestyle-vlog over China's economische herstel tijdens de COVID-19-pandemie.
Afbeelding 5: De Laotisch sprekende influencer Song Siao post een lifestyle-vlog over China's economische herstel te midden van de COVID-19-pandemie. In de zelf gefilmde video bezoekt hij een autodealer in Beijing en praat hij met lokale inwoners. Meer informatie over deze afbeelding op pagina 8 in het volledige rapport
Socialemediapost van Techy Rachel, een Engelstalige beïnvloeder.
Afbeelding 6: Techy Rachel, een Engels sprekende influencer die meestal over Chinese innovaties en technologie post, wijkt af van haar contentthema's om aan het debat over de Chinese spionageballon mee te doen. Zoals andere Chinese staatsmediakanalen ontkent ze dat de ballon voor spionage werd gebruikt. Meer informatie over deze afbeelding op pagina 8 in het volledige rapport

Influencers bereiken wereldwijde doelgroepen in ten minste 40 talen

De geografische verspreiding van talen die worden gesproken door deze staatsgerelateerde influencers, vertegenwoordigt China's groeiende wereldwijde invloed en regionale prioritering. Influencers die andere Aziatische talen dan Chinees spreken – zoals Hindi, Singalees, Pasjtoe, Laotisch, Koreaans, Maleis en Vietnamees – vormen het grootste aantal influencers. Engels sprekende influencers vormen het op één na grootste aantal influencers.
Vijf cirkeldiagrammen met de uitsplitsing van beïnvloeders van de Chinese staatsmedia op taal.
Afbeelding 7: Analyse van influencers voor de Chinese staatsmedia per taal. Meer informatie over deze afbeelding op pagina 9 in het volledige rapport

China heeft wereldwijde doelgroepen als doelwit

Influencers richten zich op zeven doelpublieksruimten (taalgroeperingen) die zijn opgedeeld in geografische regio's. Er worden geen diagrammen weergegeven voor Engels- of Chineestalige doelpublieksruimten.

Chinese beïnvloedingsoperaties breiden wereldwijd bereik uit in aantal campagnes

China breidde de schaal van zijn online beïnvloedingsoperaties in 2023 verder uit door doelgroepen in nieuwe talen en op nieuwe platforms te bereiken. Deze operaties combineren een zeer gecontroleerd openlijk staatsmediamiddel met heimelijke of versluierde social media-beïnvloedingsmiddelen, waaronder bots, die de voorkeursverhalen van de CCP witwassen en versterken.17

Microsoft observeerde één zo'n CCP-gerelateerde campagne, die in januari 2022 begon en op het moment van schrijven nog steeds gaande is, gericht op de Spaanse niet-gouvernementele organisatie (ngo) Safeguard Defenders nadat deze het bestaan van meer dan 50 overzeese Chinese politiestations bekendmaakte.18 Deze campagne gebruikte meer dan 1.800 accounts op een aantal social media-platforms en tientallen websites om CCP-gerelateerde memes, video's en berichten te verspreiden die de Verenigde Staten en andere democratieën bekritiseerden.

Deze accounts postten berichten in nieuwe talen (Grieks, Indonesisch, Nederlands, Oeigoers, Turks, Zweeds en meer) en op nieuwe platforms (waaronder Fandango, Rotten Tomatoes, Medium, Chess.com en VK). Ondanks de schaal en persistentie van deze operatie krijgen de posts zelden betekenisvolle betrokkenheid van authentieke gebruikers, wat de elementaire aard van de activiteit van deze Chinese netwerken benadrukt.

Een matrix met 30 logo's van bekende technologiemerken naast een lijst met 16 talen
Afbeelding 8: CCP-gerelateerde beïnvloedingscontent is gedetecteerd op vele platforms en in vele talen. Meer informatie over deze afbeelding op pagina 10 in het volledige rapport
Schermopnamen naast elkaar als voorbeelden van videopropaganda in het Taiwanees
Afbeelding 9: Groot aantal shares van posts van een video in de Taiwanese taal waarin de Taiwanese overheid wordt verzocht zich 'over te geven' aan Beijing. Het grote verschil tussen impressies en shares is zeer indicatief voor gecoördineerde beïnvloedingsoperaties. Meer informatie over deze afbeelding op pagina 10 in het volledige rapport

Een gesluierd wereldwijd netwerk van CCP-nieuwswebsites

Nog een digitale-mediacampagne die het uitgebreide bereik van CCP-gerelateerde beïnvloedingsoperaties illustreert, is een netwerk van meer dan 50 voornamelijk Chineestalige nieuwswebsites die het vermelde doel van de CCP ondersteunen om de gezaghebbende stem van alle wereldwijde Chineestalige media te zijn.19 Hoewel ze zich presenteren als grotendeels onafhankelijke, niet-gerelateerde websites voor verschillende Chinese diasporagemeenschappen over de hele wereld, kunnen we met veel zekerheid vaststellen dat deze websites zijn gerelateerd aan het United Front Work Department (UFWD) van de CCP – een orgaan dat ervoor verantwoordelijk is de invloed van de CCP buiten China's grenzen te versterken, met name door contact te leggen met 'overzeese Chinezen' – op basis van technische indicatoren, websiteregistratie-informatie en gedeelde content.20
Wereldkaart met logo's van meer dan 20 Chinese websites die zich richten op de wereldwijde Chinese diaspora.
Afbeelding 10: Kaart van websites gericht op de wereldwijde Chinese diaspora waarvan is vastgesteld dat ze deel uitmaken van deze mediastrategie.  Meer informatie over deze afbeelding op pagina 11 in het volledige rapport

Omdat veel van deze sites IP-adressen delen, konden we nog meer sites in het netwerk ontdekken door met Microsoft Defender Bedreigingsinformatie query's uit te voeren op domeinresoluties. Veel van de websites delen front-end HTML-code, waarin zelfs de opmerkingen van de webontwikkelaar die in de code zijn ingesloten vaak identiek zijn op verschillende websites. Meer dan 30 van de sites gebruiken dezelfde Application Programming Interface (API) en hetzelfde contentmanagementsysteem van een dochteronderneming die geheel eigendom is van China News Service (CNS), het mediabureau van het UFWD.21 Gegevens van het Chinese ministerie van Industrie en Informatietechnologie onthullen verder dat dit UFWD-gerelateerde technologiebedrijf en nog een ander bedrijf ten minste 14 nieuwssites in dit netwerk hebben geregistreerd.22 Door dochterondernemingen en externe mediabedrijven op deze manier te gebruiken, kan het UFWD een wereldwijde doelgroep bereiken en tegelijkertijd zijn directe betrokkenheid verhullen.

Deze websites beweren onafhankelijke nieuwsleveranciers te zijn terwijl ze regelmatig dezelfde artikelen van de Chinese staatsmedia opnieuw publiceren en vaak zeggen de oorspronkelijke bron van de content te zijn. Hoewel de sites voornamelijk internationaal nieuws bespreken en algemene artikelen van de Chinese staatsmedia publiceren, zijn politiek gevoelige onderwerpen heel erg in overeenstemming met de voorkeursverhalen van de CCP. Een paar honderd artikelen in dit netwerk van websites promoten bijvoorbeeld valse beweringen dat het COVID-19-virus een biologisch wapen is dat wordt geproduceerd in het biologisch onderzoekslaboratorium van het Amerikaanse leger in Fort Detrick.23 Sites circuleren ook vaak verklaringen van Chinese regeringsambtenaren en staatsmedia-artikelen over dat het COVID-19-virus in de Verenigde Staten was ontstaan en niet in China. Deze websites laten zien in hoeverre de CCP-controle is doorgedrongen in de Chineestalige mediaomgeving, waardoor de partij kritische verslaggeving van gevoelige onderwerpen kan overstemmen.

Koorddiagram van artikelen met overlapping die zijn gepubliceerd door meerdere sites.
Afbeelding 11: Websites presenteren zichzelf als uniek in de regio maar delen identieke content. Dit koorddiagram toont overlappende artikelen die door meerdere sites zijn gepubliceerd. Meer informatie over deze afbeelding op pagina 12 in het volledige rapport
Schermopnamen van hoe een China News Service-artikel opnieuw werd gepubliceerd op websites voor doelgroepen in Italië, Hongarije, Rusland en Griekenland
Afbeelding 12: China News Service en andere Chinese staatsmedia publiceerden een artikel genaamd 'Verklaring van de WGO stelt donkere Amerikaanse biologische laboratoriums in Oekraïne bloot'. Dit artikel werd vervolgens gepubliceerd op websites die zijn gericht op doelgroepen in Hongarije, Zweden, West-Afrika en Griekenland. Meer informatie over deze afbeelding op pagina 12 in het volledige rapport

Wereldwijd bereik van Chinese staatsmedia

Hoewel de hierboven beschreven campagne opvalt door zijn versluiering, zijn bonafide websites van de Chinese staatsmedia voor het grootste deel verantwoordelijk voor de wereldwijde kijkcijfers van CCP-gecontroleerde media. Door uit te breiden naar vreemde talen24, Chinese staatsmediabureaus in het buitenland te openen25 en gratis Beijing-vriendelijke content te verstrekken26, breidt de CCP het bereik van zijn 'gesprekskracht' (话语权) uit door propaganda te injecteren in de nieuwsmedia van landen over de hele wereld.27
Een organigram dat een momentopname voorstelt van het openlijke propaganda-ecosysteem van de CCP.
Afbeelding 13: Organigram dat een momentopname voorstelt van de functies en entiteiten die deel uitmaken van het openlijke propaganda-ecosysteem van de CCP. Meer informatie over deze afbeelding op pagina 13 in het volledige rapport

Verkeer naar websites van de Chinese staatsmedia meten

Microsoft's AI for Good Lab heeft een index ontwikkeld om de verkeersstroom te meten van gebruikers buiten China naar kanalen die grotendeels eigendom zijn van de Chinese overheid. De index vergelijkt het verkeer naar deze sites met het algehele verkeer op internet, zoals de Russian Propaganda Index (RPI) in juni 2022 introduceerde.28

Vijf domeinen domineren consumptie van Chinese staatsmedia en zijn verantwoordelijk voor ongeveer 60% van alle paginaweergaven van de Chinese staatsmedia.

Grafiek met de consumptie van Chinese media
Meer informatie over deze afbeelding op pagina 14 in het volledige rapport

De index kan licht werpen op trends in het relatieve succes van Chinese staatsmediakanalen per geografie in de loop der tijd. Onder lidstaten van de Association of Southeast Asian Nations (ASEAN) vallen Singapore en Laos bijvoorbeeld op met meer dan twee keer zoveel relatief verkeer naar websites van de Chinese staatsmedia als Brunei, die op de derde plaats staat. De Filippijnen staan op de laagste plaats, met 30 keer zo weinig verkeer naar websites van de Chinese staatsmedia als Singapore en Laos. In Singapore, waar het Mandarijns een officiële taal is, weerspiegelt de hoge consumptie van Chinese staatsmedia China's invloed op Mandarijnstalig nieuws. In Laos zijn er veel minder sprekers van het Chinees, wat het relatieve succes van de Chinese staatsmedia in dat land weerspiegelt.

Schermopname van de startpagina van PhoenixTV, het meest bezochte domein.
Afbeelding 14: Homepage van het meest bezochte domein, PhoenixTV, met 32% van alle paginaweergaven. Meer informatie over deze afbeelding op pagina 14 in het volledige rapport

Steeds geavanceerdere Noord-Koreaanse cyberoperaties verzamelen informatie en genereren inkomsten voor de staat

Noord-Koreaanse cyberbedreigingsactoren voeren cyberoperaties uit met als doel (1) informatie te verzamelen over de activiteiten van de vermeende vijanden van de staat: Zuid-Korea, de Verenigde Staten en Japan, (2) informatie te verzamelen over de militaire capaciteiten van andere landen om hun eigen te verbeteren, en (3) cryptovalutafondsen voor de staat te verzamelen. Microsoft heeft het afgelopen jaar waargenomen dat afzonderlijke Noord-Koreaanse bedreigingsactoren steeds meer overlappende doelwitten hebben en Noord-Koreaanse activiteitengroepen geavanceerder zijn geworden.

Noord-Korea's cyberprioriteiten liggen bij maritiem technologieonderzoek te midden van tests van onderwaterdrones en -vaartuigen

Microsoft Bedreigingsinformatie heeft het afgelopen jaar waargenomen dat Noord-Koreaanse bedreigingsactoren steeds meer overlappende doelwitten hebben. Drie Noord-Koreaanse bedreigingsactoren – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) en Sapphire Sleet (COPERNICIUM) – hadden van november 2022 tot januari 2023 bijvoorbeeld de maritieme en scheepsbouwsector als doelwit. Microsoft had deze mate van overlappende doelwitten tussen meerdere Noord-Koreaanse activiteitengroepen nog niet eerder gezien, wat suggereert dat maritiem technologieonderzoek op dat moment een hoge prioriteit was voor de Noord-Koreaanse overheid. In maart 2023 vuurde Noord-Korea naar zeggen als test twee strategische kruisraketten vanaf een onderzeeër af richting de Japanse Zee (ook wel bekend als de Oostzee) als een waarschuwing vóór de militaire oefening South Korea-US Freedom Shield. Later die maand en de volgende maand testte Noord-Korea naar verluidt twee Haeil-onderwateraanvalsdrones vanaf de oostkust van het land naar de Japanse Zee. Deze tests van de maritieme militaire capaciteiten vonden plaats kort nadat drie Noord-Koreaanse cybergroepen zich op maritieme defensie-entiteiten hadden gericht voor informatieverzameling.

Bedreigingsactoren compromitteren defensiebedrijven terwijl Noord-Koreaans regime verzamelingsvereisten met hoge prioriteit stelt

Van november 2022 tot januari 2023 zag Microsoft nog een tweede voorbeeld van overlappende doelwitten, waarbij Ruby Sleet en Diamond Sleet defensiebedrijven compromitteerden. De twee bedreigingsactoren compromitteerden twee wapenproductiebedrijven in Duitsland en Israël. Dit suggereert dat de Noord-Koreaanse overheid meerdere groepen bedreigingsactoren tegelijk toewijst om te voldoen aan verzamelingsvereisten met hoge prioriteit om de militaire capaciteiten van het land te verbeteren. Sinds januari 2023 heeft Diamond Sleet ook defensiebedrijven in Brazilië, Finland, Italië, Noorwegen, Polen en Tsjechië gecompromitteerd.
Cirkeldiagram met de door Noord-Korea meest aangevallen defensiesectoren op land
Afbeelding 15: Noord-Korea's compromittering van defensiesector per land, van maart 2022 tot maart 2023

Russische overheid en defensiesectoren blijven doelwitten voor Noord-Korea om informatie te verzamelen

Meerdere Noord-Koreaanse bedreigingsactoren hebben zich recentelijk gericht op de Russische overheid en defensiesector, en tegelijkertijd Rusland materiële steun geboden in zijn oorlog tegen Oekraïne.32 In maart 2023 compromitteerde Ruby Sleet een ruimtevaartonderzoeksinstituut in Rusland. Bovendien compromitteerde Onyx Sleet (PLUTONIUM) begin maart een apparaat dat aan een universiteit in Rusland behoorde. Los daarvan verzond een aanvallersaccount dat is toegeschreven aan Opal Sleet (OSMIUM) in dezelfde maand phishing-mails naar accounts van Russische diplomatieke overheidsentiteiten. Noord-Koreaanse bedreigingsactoren kapitaliseren misschien op de gelegenheid om informatie over Russische entiteiten te verzamelen terwijl het land is gefocust op zijn oorlog tegen Oekraïne.

Noord-Koreaanse groepen laten steeds geavanceerdere operaties zien via cryptovalutadiefstal en aanvallen op toeleveringsketens

Microsoft stelt vast dat Noord-Koreaanse activiteitengroepen steeds geavanceerdere operaties uitvoeren via cryptovalutadiefstal en aanvallen op toeleveringsketens. In januari 2023 schreef het Federal Bureau of Investigation (FBI) de diefstal van USD 100 miljoen aan cryptovaluta van Harmony's Horizon Bridge in juni 2022 publiekelijk toe aan Jade Sleet (DEV-0954), ook wel bekend als Lazarus Group/APT38.33 Bovendien schreef Microsoft de 3CX-aanval op de toeleveringsketen van maart 2023 toe aan Citrine Sleet (DEV-0139), die gebruikmaakte van een eerdere toeleveringsketencompromittering van een in de VS gevestigd financieel technologiebedrijf in 2022. Dit was de eerste keer dat Microsoft observeerde hoe een activiteitengroep een bestaande toeleveringsketencompromittering gebruikte om nog een toeleveringsketen aan te vallen, wat laat zien dat Noord-Koreaanse cyberactiviteiten steeds geavanceerder worden.

Emerald Sleet gebruikt bewezen spearphishing-tactiek zodat experts antwoord geven met informatie over buitenlands beleid

Emerald Sleet (THALLIUM) is nog altijd de meest actieve Noord-Koreaanse bedreigingsactor die Microsoft het afgelopen jaar heeft geïdentificeerd. Emerald Sleet blijft regelmatig spearphishing-mails verzenden naar wereldwijde experts in het Koreaanse schiereiland om informatie te verzamelen. In december 2022 gaf Microsoft Bedreigingsinformatie een gedetailleerd overzicht van Emerald Sleet's phishing-campagnes die zijn gericht op invloedrijke experts in Noord-Korea die zich in de Verenigde Staten en geallieerde landen bevinden. In plaats van schadelijke bestanden of links naar schadelijke websites te gebruiken, ontdekte Microsoft dat Emerald Sleet een unieke tactiek gebruikt: zich voordoen als achtenswaardige academische instellingen en ngo's zodat slachtoffers antwoord geven met deskundige inzichten en informatie over buitenlands beleid in verband met Noord-Korea.

Capaciteiten: Beïnvloeden

Noord-Korea heeft het afgelopen jaar beperkte beïnvloedingsoperaties uitgevoerd op social media-videoplatforms zoals YouTube en TikTok.34 Noord-Koreaanse influencers op YouTube zijn voornamelijk meisjes en vrouwen, waarvan één nog maar 11 jaar oud is, die vlogs over hun dagelijks leven posten en positieve verhalen over het regime promoten. Sommige van de influencers spreken Engels in hun video's, met als doel een grotere wereldwijde doelgroep te bereiken. Noord-Korea's influencers zijn veel minder effectief dan het influencer-initiatief van de Chinese staatsmedia.

Vooruitkijken terwijl geopolitieke spanningen cyber- en beïnvloedingsoperaties aanwakkeren

China heeft in recente jaren zijn cybercapaciteiten verder uitgebreid en veel meer ambitie getoond in zijn beïnvloedingscampagnes. Op de korte termijn blijft Noord-Korea gefocust op doelwitten gerelateerd aan zijn politieke, economische en defensie-interesses in de regio. We kunnen op elk continent uitgebreidere cyberspionage verwachten tegen zowel tegenstanders als voorstanders van de geopolitieke doelen van de CCP. Terwijl bedreigingsgroepen in China indrukwekkende cybercapaciteiten blijven ontwikkelen en gebruiken, hebben we niet gezien dat China cyber- en beïnvloedingsoperaties combineert – in tegenstelling tot Iran en Rusland, die zich bezighouden met 'hacken en lekken' campagnes.

China-gerelateerde beïnvloedingsactoren opereren op een schaal die niet te evenaren is met die van andere kwaadwillige beïnvloedingsactoren, en kunnen daardoor kapitaliseren op een aantal belangrijke trends en gebeurtenissen in de komende zes maanden.

Ten eerste worden operaties die gebruikmaken van video en visuele media de norm. CCP-gerelateerde netwerken gebruiken al lange tijd AI-gegenereerde profielafbeeldingen, en hebben dit jaar AI-gegenereerde kunst voor visuele memes in gebruik genomen. Door de staat gesteunde actoren zullen ook particuliere contentstudio's en pr-bedrijven blijven gebruiken om propaganda op aanvraag te outsourcen.35

Ten tweede zal China authentieke betrokkenheid met doelgroepen blijven zoeken door tijd en bronnen te investeren in gecultiveerde social media-middelen. Influencers met grondige culturele en taalkundige kennis en hoogwaardige videocontent zijn pioniers geweest voor succesvolle social media-betrokkenheid. De CCP zal een aantal van deze tactieken toepassen, zoals met social media-gebruikers communiceren en culturele knowhow demonstreren, om zijn heimelijke social media-campagnes te bevorderen.

Ten derde zullen Taiwan en de Verenigde Staten waarschijnlijk de twee topprioriteiten voor Chinese beïnvloedingsoperaties blijven, vooral met de komende verkiezingen in beide landen in 2024. Aangezien CCP-gerelateerde beïnvloedingsactoren zich recentelijk op Amerikaanse verkiezingen hebben gericht, is het vrijwel zeker dat ze dat nogmaals zullen doen. Social media-middelen die zich voordoen als Amerikaanse kiezers zullen waarschijnlijk geavanceerder zijn en actief voor wrijvingen zorgen op raciaal, sociaaleconomisch en ideologisch gebied met content die de Verenigde Staten hevig bekritiseert.

  1. [1]
  2. [2]

    Nieuwe basissen in de Filippijnen vergroten aanwezigheid van Amerikaans leger in de regio, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Momenteel is er onvoldoende bewijs om de groepen met elkaar in verband te brengen.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Deze statistieken weerspiegelen gegevens vanaf april 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Dergelijke beïnvloedingsactoren worden soms ook wel 'Spamouflage Dragon' of 'DRAGONBRIDGE' genoemd.
  18. [18]
  19. [19]
  20. [20]

    Zie: Het framework van het Microsoft Threat Analysis Center om beïnvloedingstoeschrijvingen te bepalen. https://go.microsoft.com/fwlink/?linkid=2262095; De Chinese overheid noemt de Chinese diaspora vaak 'overzeese Chinezen' of 华侨 (huaqiao), verwijzend naar degenen met Chinees burgerschap of van Chinese afkomst die buiten de Volksrepubliek China wonen. Voor meer informatie over Beijing's interpretatie van de Chinese diaspora bekijk je: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    De Chinese overheid zaaide dit verhaal aan het begin van de COVID-19-pandemie; zie: https://go.microsoft.com/fwlink/?linkid=2262170; Websites in dit netwerk die deze bewering promoten, zijn onder meer: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    De verdediging van Oekraïne: Vroege lessen uit de cyberoorlog, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Een andere interpretatie van xuexi qiangguo is 'Bestudeer Xi, versterk het land'. De naam is een woordspeling op de familienaam van Xi Jinping. Overheden, universiteiten en bedrijven in China promoten het gebruik van de app sterk en beschamen of straffen ondergeschikten soms voor te weinig gebruik; zie: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    The Paper is eigendom van Shanghai United Media Group, die op zijn beurt eigendom is van het Shanghai Communist Party Committee: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    De CCP heeft eerder geïnvesteerd in bedrijven in de particuliere sector die beïnvloedingscampagnes steunen via SEO-manipulatietechnieken, valse likes en volgers, en andere services. Inkoopdocumenten onthullen een dergelijk bod; zie: https://go.microsoft.com/fwlink/?linkid=2262522

Cyberbeïnvloedingsoperaties Rapporten over natiestaten in Oost-Azië Rapporten over natiestaten Phishing Bedreigingsactoren

Verwante artikelen

Volt Typhoon richt zich met LOTL-technieken op kritieke infrastructuur in de Verenigde Staten

De door de Chinese staat gesponsorde bedreigingsactor Volt Typhoon gebruikt heimelijke technieken om kritieke infrastructuur in de Verenigde Staten aan te vallen, spionageactiviteiten uit te voeren en zich op te houden in gecompromitteerde omgevingen.
Meer informatie

Propaganda in het digitale tijdperk: Hoe vertrouwen afneemt door cyberactiviteiten voor beïnvloeding

Onderzoek de wereld van cyberbeïnvloedingsoperaties waarbij natiestaten propaganda verspreiden die is ontworpen om de betrouwbare informatie te bedreigen die een democratie nodig heeft om te floreren.
Meer informatie

Iran gebruikt cyberbeïnvloedingsoperaties voor een groter effect

Microsoft Bedreigingsinformatie heeft een toenemend aantal cyberbeïnvloedingsoperaties vanuit Iran ontdekt. Ontvang bedreigingsinzichten met details van nieuwe technieken en waar het potentieel van toekomstige bedreigingen ligt.
Meer informatie

Volg Microsoft Beveiliging