Trace Id is missing

As ameaças digitais provenientes da Ásia Leste aumentam em termos de amplitude e eficácia

Transferir
Partilhar
Uma pessoa sentada em frente a um computador

Introdução

Várias tendências emergentes ilustram um panorama de ameaças em rápida mudança na Ásia Leste, com a China a conduzir operações cibernéticas e de influência (IO)generalizadas e os atores de ciberameaças norte-coreanos a demonstrarem uma sofisticação crescente.

Em primeiro lugar, os grupos de ciberameaças afiliados ao estado chinês têm-se focado particularmente na região do mar da China Meridional, dirigindo a ciberespionagem contra governos e outras entidades críticas que circundam esta zona marítima. Entretanto, o facto de a China visar o setor da defesa dos EUA e sondar as infraestruturas dos EUA é indica tentativas de obter vantagens competitivas para as relações externas e objetivos militares estratégicos da China.

Em segundo lugar, no último ano, a China tornou-se mais eficaz a envolver os utilizadores das redes sociais com IO. Há muito que as campanhas chinesas de influência online contam com o grande volume para chegar aos utilizadores através de redes de contas de redes sociais não autênticas. No entanto, desde 2022, as redes sociais alinhadas com a China envolveram-se diretamente com utilizadores autênticos nas redes sociais, visaram candidatos específicos em conteúdos sobre as eleições nos EUA e fizeram-se passar por eleitores americanos. Por outro lado, a iniciativa de influenciadores multilingues das redes sociais da China, afiliada ao Estado, conseguiu envolver o público-alvo em, pelo menos, 40 idiomas e aumentar o seu público para mais de 103 milhões de pessoas.

Em terceiro lugar, a China continuou a aumentar as suas campanhas de IO no ano passado, expandindo os seus esforços a novos idiomas e novas plataformas, para aumentar a sua presença global. Nas redes sociais, as campanhas utilizam milhares de contas não autênticas em dezenas de sites, que divulgam memes, vídeos e mensagens em vários idiomas. Na comunicação social online, os meios de comunicação social estatais chineses são diplomáticos e eficazes ao posicionarem-se como a voz oficial no discurso internacional sobre a China, utilizando uma variedade de meios para exercer influência nos meios de comunicação social de todo o mundo. Uma campanha divulgou propaganda do Partido Comunista Chinês (PCC) através de sites de notícias localizados, destinados à diáspora chinesa, em mais de 35 países.

Por último, a Coreia do Norte, que, ao contrário da China, não tem capacidade para ser um agente de influência sofisticado, continua a ser uma ciberameaça formidável. A Coreia do Norte tem demonstrado um interesse contínuo na recolha de informações e no aumento da sofisticação tática, ao recorrer a ataques em série à cadeia de abastecimento e ao roubo de criptomoedas, entre outras táticas.

As operações cibernéticas da China voltam a focar-se no mar da China Meridional e em indústrias fundamentais dos Estados Unidos

Desde o início de 2023, as Informações sobre Ameaças da Microsoft identificaram três áreas de especial foco para os atores de ciberameaças afiliados à China: o mar da China Meridional, a base industrial de defesa dos EUA e as infraestruturas críticas dos EUA.

Os alvos patrocinados pelo estado chinês refletem os objetivos estratégicos no mar da China Meridional

Os atores de ameaças afiliados ao estado chinês mostram um interesse contínuo no mar da China Meridional e no Taiwan, o que reflete a grande variedade de interesses económicos, políticos e de defesa da China nesta região.1 As reivindicações territoriais conflituosas, as crescentes tensões entre os dois lados do estreito e um aumento da presença militar dos EUA podem ser motivações para as ciberatividades ofensivas da China.2

A Microsoft monitorizou o Raspberry Typhoon (RADIUM) como o principal grupo de ameaças a visar as nações que circundam o mar da China Meridional. O Raspberry Typhoon visa sistematicamente os ministérios governamentais, as entidades militares e as empresas ligadas a infraestruturas críticas, particularmente as telecomunicações. Desde janeiro de 2023, o Raspberry Typhoon tem sido especialmente persistente. Ao visar ministérios ou infraestruturas governamentais, o Raspberry Typhoon efetua, normalmente, a recolha de informações e a execução de malware. Em muitos países, os alvos variam entre os ministérios relacionados com a defesa e a informação e os ministérios relacionados com a economia e o comércio.

O Flax Typhoon (Storm-0919) é o grupo de ameaças mais proeminente a visar a ilha de Taiwan. Este grupo visa principalmente as telecomunicações, a educação, as tecnologias de informação e as infraestruturas energéticas, normalmente utilizando um dispositivo VPN personalizado para estabelecer diretamente uma presença na rede alvo. Da mesma forma, o Charcoal Typhoon (CHROMIUM) visa instituições de ensino, infraestruturas energéticas e a produção de alta tecnologia de Taiwan. Em 2023, tanto o Charcoal Typhoon como o Flax Typhoon visaram entidades do setor aeroespacial taiwanesas com contratos com o exército de Taiwan.

Mapa da região do mar da China Meridional a destacar eventos observados por país
Figura 1: Eventos observados por país no mar da China Meridional, de janeiro de 2022 a abril de 2023. Saiba mais sobre esta imagem na página 4 do relatório completo

Os atores de ameaças chineses viram a sua atenção para Guam, enquanto os EUA constroem uma base dos Marine Corps

Vários grupos de ameaças baseados na China continuam a visar a base industrial de defesa dos EUA, nomeadamente o Circle Typhoon (DEV-0322), o Volt Typhoon (DEV-0391) e o Mulberry Typhoon (MANGANESE). Apesar de os alvos destes três grupos se sobreporem ocasionalmente, são atores distintos com infraestruturas e capacidades diferentes.3

O Circle Typhoon realiza uma grande variedade de ciberatividades contra a base industrial de defesa dos EUA, incluindo desenvolvimento de recursos, recolha, acesso inicial e acesso a credenciais. O Circle Typhoon utiliza frequentemente dispositivos VPN para atingir empresas de informática e de defesa sediadas nos EUA. O Volt Typhoon também fez reconhecimento contra inúmeras empresas de defesa dos EUA. O Guam é um dos alvos mais frequentes destas campanhas, particularmente entidades de comunicações e telecomunicações por satélite aí instaladas.4

Uma tática frequente do Volt Typhoon envolve o comprometimento de routers de escritórios pequenos e casas, tipicamente com o propósito de criar infraestruturas.5 O Mulberry Typhoon também visou a base industrial de defesa dos EUA, principalmente com exploração de dia zero dirigida a dispositivos.6 O aumento do foco em Guam é significativo, dada a sua posição como território norte-americano mais próximo da Ásia Leste e é fundamental para a estratégia dos EUA na região.

Grupos de ameaças chineses visam infraestruturas críticas dos EUA

A Microsoft observou grupos de ameaças afiliados ao estado chinês a visar infraestruturas críticas dos EUA em vários setores e um desenvolvimento significativo de recursos nos últimos seis meses. O Volt Typhoon tem sido o principal grupo responsável por esta atividade desde, pelo menos, o verão de 2021, e a dimensão desta atividade ainda não é totalmente conhecida.

Os setores visados incluem transportes (como portos e caminhos-de-ferro), serviços públicos (como energia e tratamento da água), infraestruturas médicas (incluindo hospitais) e infraestruturas de telecomunicações (incluindo comunicações por satélite e sistemas de fibra ótica). A Microsoft considera que esta campanha pode dar à China capacidades para perturbar as infraestruturas críticas e as comunicações entre os Estados Unidos e a Ásia.7

Os grupos de ameaças baseados na China visam, aproximadamente, 25 organizações, incluindo entidades governamentais dos EUA

Desde 15 de maio, o Storm-0558, um ator de ameaças baseado na China, utilizou tokens de autenticação forjados para aceder a contas de e-mail de clientes da Microsoft de, aproximadamente, 25 organizações, incluindo entidades governamentais dos EUA e da Europa.8 A Microsoft bloqueou com êxito esta campanha. O objetivo do ataque era obter acesso não autorizado a contas de e-mail. A Microsoft considera que esta atividade foi consistente com os objetivos de espionagem do Storm-0558. O Storm-0558 já visou anteriormente entidades diplomáticas dos EUA e da Europa.

A China também visa os seus parceiros estratégicos

À medida que a China aumenta as suas relações bilaterais e parcerias globais através da Nova Rota da Seda, os atores de ameaças afiliados ao estado chinês realizaram ciberoperações paralelas contra entidades públicas e privadas em todo o mundo. Os grupos de ameaças baseados na China visam países que estão em conformidade com a estratégia da Nova Rota da Seta do PCC, incluindo entidades no Cazaquistão, na Namíbia, no Vietname e mais.9 Entretanto, as atividades generalizadas de ameaças chinesas visam consistentemente ministérios estrangeiros sediados na Europa, América Latina e Ásia, provavelmente com intuitos de espionagem económica ou de recolha de informações.10 À medida que a China expande a sua influência global, as atividades dos grupos de ameaça afiliados devem seguir-se. Ainda em abril de 2023, o Twill Typhoon (TANTALUM) conseguiu comprometer equipamentos governamentais em África e na Europa, bem como organizações humanitárias em todo o mundo.

As operações de redes sociais alinhadas com o PCC aumentam a participação efetiva do público

As operações secretas de influência afiliadas ao PCC começaram agora a envolver-se com êxito com o público-alvo nas redes sociais, em maior medida do que anteriormente observado, o que representa níveis mais elevados de sofisticação e de cultivo de recursos de IO online. Antes das eleições intercalares de 2022 nos EUA, a Microsoft e parceiros da indústria observaram contas nas redes sociais afiliadas ao PCC a fazer-se passar por eleitores americanos, novo território para IO afiliado ao PCC.11 Estas contas faziam-se passar por americanos de todo o espetro político e respondiam a comentários de utilizadores autênticos.

Tanto em comportamento como em conteúdo, estas contas demonstram muitas táticas, técnicas e procedimentos (TTP) de IO chineses bem documentados. Os exemplos incluem: contas que publicam em mandarim nas suas fases iniciais, antes de mudarem para outro idioma, que se envolvem com conteúdos de outros ativos alinhados com a China, imediatamente após a publicação, e que utilizam um padrão de interação “semente e amplificador”.12 Ao contrário de campanhas de IO anteriores, de atores afiliados ao PCC que utilizavam identificadores, nomes de apresentação e imagens de perfil gerados por computador fáceis de identificar13, estas contas mais sofisticadas são operadas por pessoas reais, que utilizam identidades fictícias ou roubadas, para ocultar a afiliação das contas ao PCC.

As contas das redes sociais nesta rede mostram um comportamento semelhante à atividade alegadamente realizada por um grupo de elite do Ministério da Segurança Pública (MSP), chamado Grupo de Trabalho Especial 912. De acordo com o Departamento de Justiça dos EUA, o grupo operava uma "fábrica de trolls" nas redes sociais que criava milhares de personalidades falsas online e divulgava propaganda do PCC dirigida a ativistas pró-democracia.

Desde, aproximadamente, março de 2023, alguns supostos ativos de IO chineses nas redes sociais ocidentais começaram a tirar partido da inteligência artificial (IA) generativa para criar conteúdos visuais. Este conteúdo visual de qualidade relativamente elevada já atraiu níveis mais elevados de envolvimento de utilizadores autênticos das redes sociais. Estas imagens apresentam as características da geração de imagens por difusão e são mais apelativas do que os conteúdos visuais estranhos das campanhas anteriores. Os utilizadores republicaram mais frequentemente estes conteúdos visuais, apesar dos indicadores comuns de geração de IA, como por exemplo, mais de cinco dedos na mão de uma pessoa.14

Publicações em redes sociais lado a lado com imagens idênticas do Black Lives Matter.
Figura 2: Um gráfico do Black Lives Matter publicado por uma conta automatizada afiliada ao PCC foi depois publicada por uma conta que se fazia passar por um eleitor conservador dos EUA, sete horas mais tarde.
Uma imagem de propaganda gerada por IA da Estátua da Liberdade.
Figura 3: Exemplo de uma imagem gerada por IA publicada por um suposto ativo de IO chinês. A mão da Estátua da Liberdade a segurar a tocha tem mais de cinco dedos. Saiba mais sobre esta imagem na página 6 do relatório completo
Conjunto de quatro categorias de influenciadores, jornalistas, influenciadores de estilo de vida, pares e minorias étnicas, numa escala contínua que vai do explícito ao dissimulado
Figura 4: Esta iniciativa abrange influenciadores que se enquadram em quatro grandes categorias, com base nos seus antecedentes, públicos-alvo, recrutamento e estratégias de gestão. Todos os indivíduos incluídos na nossa análise têm laços diretos com os meios de comunicação estatais chineses (por exemplo, através de emprego, aceitação de convites para viagens ou outras trocas monetárias). Saiba mais sobre esta imagem na página 7 do relatório completo.

A iniciativa dos influenciadores dos meios de comunicação estatais chineses

Outra estratégia que atrai um envolvimento significativo nas redes sociais é o conceito do PCC de “estúdios multilingues de celebridades da Internet”(多语种网红工作室).15 Tirando partido do poder de vozes autênticas, mais de 230 colaboradores e afiliados dos meios de comunicação social estatais fazem-se passar por influenciadores independentes em todas as principais plataformas ocidentais de redes sociais.16 Em 2022 e 2023, em média, continuaram a surgir novos influenciadores a cada sete semanas. Recrutados, treinados, promovidos e financiados pela Rádio Internacional da China (CRI) e por outros órgãos de comunicação social estatais chineses, estes influenciadores divulgam propaganda do PCC devidamente localizada, que consegue um envolvimento significativo com públicos-alvo em todo o mundo, alcançando um conjunto de, pelo menos, 103 milhões de seguidores em múltiplas plataformas, que falam, no mínimo, 40 idiomas.

Apesar de os influenciadores publicarem, na sua maioria, conteúdos inócuos sobre estilo de vida, esta técnica disfarça a propaganda alinhada com o PCC, que pretende suavizar a imagem da China no estrangeiro.

A estratégia de recrutamento de influenciadores dos meios de comunicação social estatais chineses parece alistar dois grupos distintos de indivíduos: os que têm experiência de trabalho em jornalismo (especificamente, nos meios de comunicação social estatais) e os recém-licenciados em programas de idiomas estrangeiros. Em particular, o China Media Group (a empresa-mãe da CRI e da CGTN) parece recrutar licenciados diretamente das melhores escolas chinesas de línguas estrangeiras, como a Universidade de Estudos Estrangeiros de Pequim e a Universidade de Comunicação da China. Os que não são diretamente recrutados nas universidades são, muitas vezes, antigos jornalistas e tradutores, que removem dos seus perfis quaisquer indicadores explícitos de afiliação a meios de comunicação estatais, depois de se "recriarem" como influenciadores.

O influenciador Song Siao, que fala laosiano, publica um vlogue de estilo de vida, que aborda a recuperação económica da China no meio da pandemia de COVID-19.
Figura 5: O influenciador Song Siao, que fala lao, publica um vlogue de estilo de vida, que aborda a recuperação económica da China no meio da pandemia de COVID-19. No vídeo, filmado pelo próprio, este visita um stand de automóveis em Pequim e fala com os habitantes locais. Saiba mais sobre esta imagem na página 8 do relatório completo
Publicação nas redes sociais de Techy Rachel, uma influenciadora de língua inglesa.
Figura 6: Techy Rachel, uma influenciadora de língua inglesa que, normalmente, publica sobre inovações e tecnologia chinesas, desvia-se dos seus temas de conteúdo para se pronunciar sobre o debate do balão espião chinês. Tal como outros meios de comunicação social estatais chineses, nega que o balão tenha sido utilizado para espionagem. Saiba mais sobre esta imagem na página 8 do relatório completo

Os influenciadores alcançam públicos mundiais em, pelo menos, 40 idiomas

A distribuição geográfica dos idiomas falados por estes influenciadores afiliados ao estado representa a crescente influência global da China e a sua prioridade regional. Os influenciadores que falam línguas asiáticas, com exceção do chinês, como hindi, cingalês, pastó, lao, coreano, malaio e vietnamita, constituem o maior número de influenciadores. Os influenciadores de língua inglesa constituem o segundo maior número de influenciadores.
Cinco gráficos circulares a mostrar a divisão dos influenciadores dos meios de comunicação estatais chineses por idioma.
Figura 7: Discriminação dos influenciadores dos meios de comunicação estatais chineses por idioma. Saiba mais sobre esta imagem na página 9 do relatório completo

A China visa públicos em todo o mundo

Os influenciadores têm como alvo sete espaços de público (grupos linguísticos) que estão separados por regiões geográficas. Não são apresentados gráficos para os espaços de públicos em inglês ou chinês.

A IO chinesa expande o seu alcance global em várias campanhas

Em 2023, a China expandiu ainda mais a escala da sua IO online, alcançando públicos em novos idiomas e em novas plataformas. Estas operações combinam um aparelho de comunicação social estatal aberto e altamente controlado com meios de comunicação social dissimulados ou ofuscados, incluindo bots, que divulgam e amplificam as narrativas preferidas do PCC.17

A Microsoft observou uma dessas campanhas alinhadas com o PCC, iniciada em janeiro de 2022 e em curso no momento em que este artigo foi escrito, visando a organização não governamental (ONG) espanhola, Safeguard Defenders, depois de esta ter exposto a existência de mais de 50 esquadras chinesas no estrangeiro.18 Esta campanha utilizou mais de 1800 contas em várias plataformas de redes sociais e dezenas de sites para difundir memes, vídeos e mensagens alinhados com o PCC, que criticavam os Estados Unidos e outras democracias.

Estas contas enviaram mensagens em novos idiomas (neerlandês, grego, indonésio, sueco, turco, uigur e mais) e em novas plataformas (incluindo Fandango, Rotten Tomatoes, Medium, Chess.com e VK, entre outras). Apesar da escala e da persistência desta operação, as publicações raramente obtêm um envolvimento significativo de utilizadores autênticos, o que realça a natureza rudimentar da atividade destas redes chinesas.

Um conjunto de 30 logótipos de marcas de tecnologia conhecidas apresentado juntamente com uma lista de 16 idiomas
Figura 8: Foram detetados conteúdos IO alinhados com o PCC em muitas plataformas e muitos idiomas. Saiba mais sobre esta imagem na página 10 do relatório completo
Exemplos de capturas de ecrã lado a lado de propaganda em vídeo no idioma do Taiwan
Figura 9: Grande volume de partilhas de publicações de uma chamada de vídeo em taiwanês que apela ao governo de Taiwan que se "renda" a Pequim. A grande diferença entre impressões e partilhas é altamente indicativa de atividade coordenada de IO. Saiba mais sobre esta imagem na página 10 do relatório completo

Uma rede global disfarçada de sites de notícias do PCC

Outra campanha de multimédia digital, que ilustra a crescente amplitude das OI afiliadas ao PCC, é uma rede de mais de 50 sites de notícias predominantemente em chinês, que apoiam o objetivo declarado do PCC de ser a voz oficial de todos os meios de comunicação em chinês em todo o mundo.19 Apesar de se apresentarem como sites independentes e não afiliados que servem diferentes comunidades da diáspora chinesa em todo o mundo, consideramos, com grande confiança, que estes sites estão afiliados ao Departamento de Trabalho da Frente Unida (UFWD) do PCC, um órgão responsável pelo reforço da influência do PCC além das fronteiras da China, em particular através da ligação com os “chineses no estrangeiro”, com base em indicadores técnicos, informações de registo do site e conteúdos partilhados.20
Mapa mundial com mais de 20 logótipos de sites chineses destinados à diáspora chinesa mundial.
Figura 10: Mapa dos sites destinados à diáspora chinesa mundial, que se considera fazerem parte desta estratégia de comunicação.  Saiba mais sobre esta imagem na página 11 do relatório completo

Como muitos destes sites partilham endereços IP, a consulta de resoluções de domínio com as Informações sobre Ameaças do Microsoft Defender permitiu-nos descobrir mais sites na rede. Muitos dos sites partilham o código HTML Web front-end, em que até os comentários do programador Web incorporados no código são frequentemente idênticos em diferentes sites. Mais de 30 dos sites utilizam a mesma interface de programação de aplicações (API) e o mesmo sistema de gestão de conteúdos de uma “filial completamente detida” pela China News Service (CNS), a agência de comunicação social da UFWD.21 Registos do Ministério da Indústria e da Tecnologia da Informação da China revelam ainda que esta empresa tecnológica afiliada à UFWD e uma outra registaram, pelo menos, 14 sites de notícias nesta rede.22 Ao utilizar subsidiárias e empresas de comunicação social de terceiros desta forma, a UFWD pode atingir um público global, ocultando o seu envolvimento direto.

Estes sites apresentam-se como fornecedores independentes de notícias, mas republicam frequentemente os mesmos artigos dos meios de comunicação estatais chineses, alegando, muitas vezes, serem a fonte original do conteúdo. Embora os sites cubram, em geral, notícias internacionais e publiquem artigos genéricos dos meios de comunicação social estatais chineses, os assuntos politicamente sensíveis alinham-se, na sua esmagadora maioria, com as narrativas preferidas do PCC. Por exemplo, várias centenas de artigos nesta rede de sites promovem falsas alegações de que o vírus da COVID-19 é uma arma biológica fabricada no laboratório militar norte-americano de investigação biológica, em Fort Detrick.23 Frequentemente, os sites também fazem circular declarações de funcionários do governo chinês e artigos dos meios de comunicação social estatais que alegam que o vírus da COVID-19 teve origem nos Estados Unidos e não na China. Estes sites exemplificam até que ponto o controlo do PCC penetrou no ambiente dos meios de comunicação social de língua chinesa, permitindo ao partido abafar a divulgação crítica de assuntos sensíveis.

Diagrama de cordas sobre a sobreposição de artigos publicados por vários sites.
Figura 11: Os sites apresentam-se como únicos para a localidade, mas partilham conteúdos idênticos. Este diagrama de cordas mostra a sobreposição de artigos publicados por vários sites. Saiba mais sobre esta imagem na página 12 do relatório completo
Capturas de ecrã de como um artigo do Serviço de Notícias da China foi republicado em sites a visar públicos na Itália, Hungria, Rússia e Grécia
Figura 12: O China News Service e outros meios de comunicação social estatais chineses publicaram um artigo intitulado "Declaração da OMS expõe biolaboratórios obscuros dos EUA na Ucrânia". Este artigo foi depois publicado em sites dirigidos a públicos na Hungria, Suécia, África Ocidental e Grécia. Saiba mais sobre esta imagem na página 12 do relatório completo

Alcance global dos meios de comunicação estatais chineses

Embora a campanha acima descrita seja notável pela sua dissimulação, os sites dos meios de comunicação estatais chineses de boa-fé representam a grande maioria do público global dos meios de comunicação dirigidos pelo PCC. Ao expandirem-se para idiomas estrangeiros,24 abrindo gabinetes de meios de comunicação estatais chineses no estrangeiro25 e fornecendo conteúdos gratuitos favoráveis para Pequim,26 o PCC expande o alcance do seu “poder discursivo” (话语权), ao injetar propaganda nos meios de comunicação de países de todo o mundo.27
Um organograma que representa um instantâneo do ecossistema de propaganda aberta do PCC.
Figura 13: Organograma que representa um instantâneo das funções e entidades que fazem parte do ecossistema de propaganda ostensiva da CCP. Saiba mais sobre esta imagem na página 13 do relatório completo

Medição do tráfego para sites dos meios de comunicação estatais chineses

O Laboratório AI for Good da Microsoft desenvolveu um índice para medir o fluxo de tráfego de utilizadores de fora da China para órgãos detidos maioritariamente pelo governo chinês. O índice mede a proporção de tráfego que visita estes sites em relação ao tráfego geral na Internet, tal como o Índice de Propaganda Russa (RPI), introduzido em junho de 2022.28

Cinco domínios dominam o consumo dos meios de comunicação social estatais chineses, representando, aproximadamente, 60% de todas as visualizações de páginas dos mesmos.

Gráfico a mostrar o consumo de meios de comunicação social chineses
Saiba mais sobre esta imagem na página 14 do relatório completo

O índice pode revelar as tendências no sucesso relativo dos meios de comunicação social estatais chineses, por geografia, ao longo do tempo. Por exemplo, entre os estados-membros da Associação das Nações do Sudeste Asiático (ASEAN), Singapura e Laos destacam-se com mais do dobro do tráfego relativo para sites dos meios de comunicação estatais chineses do que o Brunei, terceiro classificado. As Filipinas ocupam a posição mais baixa, com 30 vezes menos tráfego para sites dos meios de comunicação estatais chineses do que Singapura e Laos. Em Singapura, onde o mandarim é uma língua oficial, o elevado consumo dos meios de comunicação social estatais chineses reflete a influência da China nas notícias em mandarim. Em Laos, o número de falantes de chinês é muito menor, o que reflete o relativo sucesso dos meios de comunicação social estatais chineses no ambiente do país.

Captura de ecrã da página inicial do domínio mais visitado, PhoenixTV.
Figura 14: Página inicial do domínio mais visitado, PhoenixTV, com 32% de todas as visualizações de páginas. Saiba mais sobre esta imagem na página 14 do relatório completo

As operações cibernéticas cada vez mais sofisticadas da Coreia do Norte recolhem informações e geram receitas para o estado

Os atores de ciberameaças norte-coreana levam a cabo operações cibernéticas com o objetivo de (1) recolher informações sobre as atividades dos adversários que o estado considera existir: Coreia do Sul, Estados Unidos e Japão, (2) recolher informações sobre as capacidades militares de outros países para melhorar as suas próprias capacidades e (3) recolher fundos de criptomoeda para o estado. Durante o ano passado, a Microsoft observou uma maior sobreposição de alvos entre os diferentes atores de ameaças norte-coreanos e um aumento da sofisticação dos grupos de atividade norte-coreanos.

As prioridades cibernéticas da Coreia do Norte focam-se na investigação de tecnologias marítimas, num contexto de testes de drones e veículos subaquáticos

Ao longo do último ano, as Informações sobre Ameaças da Microsoft observaram uma maior sobreposição de alvos entre os atores de ameaças norte-coreanos. Por exemplo, três atores de ameaças da Coreia do Norte, Ruby Sleet (CERIUM), Diamond Sleet (ZINC) e Sapphire Sleet (COPERNICIUM), visaram o setor marítimo e de construção naval, de novembro de 2022 a janeiro de 2023. A Microsoft não tinha observado anteriormente este nível de sobreposição de alvos em vários grupos de atividade norte-coreanos, o que sugere que a investigação em tecnologia marítima era uma grande prioridade para o governo norte-coreano na altura. Em março de 2023, alegadamente, a Coreia do Norte testou o lançamento de dois mísseis de cruzeiro estratégicos a partir de um submarino em direção ao mar do Japão (ou seja, mar do Leste), como um aviso antes do exercício militar "Freedom Shield" entre a Coreia do Sul e os EUA. No final desse mês e no seguinte, a Coreia do Norte, alegadamente, testou dois drones Haeil de ataque subaquático ao largo da costa leste do país, em direção ao mar do Japão. Estes testes de capacidades militares marítimas ocorreram pouco depois de três grupos cibernéticos norte-coreanos terem visado entidades de defesa marítima para recolha de informações.

Atores de ameaças comprometem empresas de defesa, enquanto o regime norte-coreano estabelece requisitos de recolha altamente prioritários

De novembro de 2022 a janeiro de 2023, a Microsoft observou uma segunda instância de sobreposições de alvos, com o Ruby Sleet e o Diamond Sleet a comprometerem empresas de defesa. Os dois atores da ameaça comprometeram duas empresas de fabrico de armas sediadas na Alemanha e em Israel. Isto sugere que o governo norte-coreano está a destacar vários grupos de atores de ameaças ao mesmo tempo para satisfazer requisitos de recolha de alta prioridade para melhorar as capacidades militares do país. Desde janeiro de 2023, o Diamond Sleet também comprometeu empresas de defesa no Brasil, na República Checa, na Finlândia, em Itália, na Noruega e na Polónia.
Gráfico circular das indústrias de defesa mais visadas pela Coreia do Norte por país
Figura 15: Coreia do Norte a visar a indústria de defesa por país, de março de 2022 a março de 2023

O governo russo e as indústrias de defesa continuam a ser alvos da Coreia do Norte para a recolha de informações

Vários atores de ameaças norte-coreanos visaram recentemente o governo e a indústria de defesa russos, fornecendo simultaneamente apoio material à Rússia na sua guerra na Ucrânia.32 Em março de 2023, o Ruby Sleet comprometeu um instituto de investigação aeroespacial na Rússia. Além disso, o Onyx Sleet (PLUTONIUM) comprometeu um dispositivo pertencente a uma universidade na Rússia, no início de março. Paralelamente, uma conta de atacante atribuída ao Opal Sleet (OSMIUM) enviou e-mails de phishing a contas pertencentes a entidades governamentais diplomáticas russas, no mês mesmo. Os atores de ameaças norte-coreanos podem estar a aproveitar a oportunidade para recolher informações sobre entidades russas, devido ao facto de o país se estar a focar na guerra na Ucrânia.

Os grupos norte-coreanos apresentam operações mais sofisticadas através do roubo de criptomoedas e de ataques à cadeia de abastecimento

A Microsoft considera que os grupos de atividade norte-coreanos estão a realizar operações cada vez mais sofisticadas através do roubo de criptomoedas e de ataques à cadeia de abastecimento. Em janeiro de 2023, o Federal Bureau of Investigation (FBI) atribuiu publicamente o roubo de 100 milhões USD em criptomoedas, de junho de 2022, da Horizon Bridge ao Jade Sleet (DEV-0954), também conhecido como Lazarus Group/APT38.33 Além disso, a Microsoft atribuiu o ataque à cadeia de abastecimento 3CX, em março de 2023, que aproveitou um compromisso anterior da cadeia de abastecimento de uma empresa de tecnologia financeira sediada nos EUA, em 2022, ao Citrine Sleet (DEV-0139). Esta foi a primeira vez que a Microsoft observou um grupo de atividades a utilizar um comprometimento existente de cadeia de abastecimento para realizar outro ataque à mesma, o que demonstra a crescente sofisticação das operações cibernéticas da Coreia do Norte.

O Emerald Sleet utiliza uma tática de spearphishing testada e comprovada, ao levar especialistas a responder com informações sobre política externa

O Emerald Sleet (THALLIUM) continua a ser o ator de ameaças norte-coreano mais ativo que a Microsoft acompanhou ao longo do último ano. O Emerald Sleet continua a enviar com frequência e-mails de spearphising a especialistas da Península Coreana em todo o mundo, para fins de recolha de informações. Em dezembro de 2022, as Informações sobre Ameaças da Microsoft detalharam as campanhas de phishing do Emerald Sleet que visaram especialistas influentes da Coreia do Norte nos Estados Unidos e nos países aliados dos EUA. Em vez de implantar ficheiros maliciosos ou ligações a sites maliciosos, a Microsoft descobriu que o Emerald Sleet emprega uma tática única: fazer-se passar por instituições académicas e ONG de renome para levar as vítimas a responder com opiniões e comentários de especialistas sobre políticas externas relacionadas com a Coreia do Norte.

Capacidades: Influência

No último ano, a Coreia do Norte realizou operações de influência limitadas em plataformas de partilha de vídeos nas redes sociais, como o YouTube e o TikTok.34 Os influenciadores norte-coreanos no YouTube são, na sua maioria, raparigas e mulheres, uma delas com apenas onze anos, que publicam vlogues sobre a sua vida quotidiana e promovem narrativas positivas sobre o regime. Alguns dos influenciadores falam inglês nos seus vídeos, com o objetivo de chegar a um público global mais vasto. Os influenciadores da Coreia do Norte são muito menos eficazes do que a iniciativa de influenciadores apoiada pelos meios de comunicação estatais chineses.

Olhando para o futuro, as tensões geopolíticas fazem aumentar a atividade cibernética e as operações de influência

A China tem continuado a expandir as suas capacidades cibernéticas nos últimos anos e tem mostrado muito mais ambição nas suas campanhas de IO. A curto prazo, a Coreia do Norte deverá continuar a focar-se em alvos relacionados com os seus interesses políticos, económicos e de defesa na região. Podemos esperar uma espionagem cibernética mais abrangente contra os opositores e apoiantes dos objetivos geopolíticos do PCC em todos os continentes. Apesar de os grupos de ameaças com base na China continuarem a desenvolver e a utilizar capacidades cibernéticas impressionantes, não observámos a China a combinar operações cibernéticas e de influência, ao contrário do Irão e da Rússia, que se envolvem em campanhas de hacking e fuga de informação.

Ao operarem a uma escala sem paralelo com outros agentes de influência maligna, os agentes de influência alinhados com a China estão preparados para tirar partido de várias tendências e acontecimentos importantes nos próximos seis meses.

Em primeiro lugar, as operações que utilizam vídeo e meios visuais estão a tornar-se a norma. As redes afiliadas ao CCP utilizam há muito imagens de perfil geradas por IA e, este ano, adotaram a arte gerada por IA para os memes visuais. Os atores apoiados pelo estado também continuarão a recorrer a estúdios de conteúdos privados e a empresas de relações públicas para fornecer propaganda a pedido.35

Em segundo lugar, a China continuará a procurar um envolvimento autêntico do público, investindo tempo e recursos em ativos cultivados nas redes sociais. Os influenciadores com profundos conhecimentos culturais e linguísticos e conteúdos de vídeo de elevada qualidade têm sido pioneiros no sucesso do envolvimento nas redes sociais. O PCC irá aplicar algumas destas táticas, incluindo a interação com os utilizadores das redes sociais e a demonstração de conhecimentos culturais, para reforçar as suas campanhas secretas nas redes sociais.

Em terceiro lugar, é provável que Taiwan e os Estados Unidos continuem a ser as duas principais prioridades das IO chinesas, especialmente com as próximas eleições em ambos os países em 2024. Uma vez que os influenciadores alinhados com o PCC visaram eleições nos EUA no passado recente, é quase certo que o farão novamente. Os meios de comunicação social que se fazem passar por eleitores norte-americanos irão provavelmente demonstrar um maior nível de sofisticação, gerando ativamente a discórdia em temas raciais, socioeconómicos e ideológicos, com conteúdos que criticam ferozmente os Estados Unidos.

  1. [1]
  2. [2]

    As novas bases nas Filipinas aumentam a presença militar dos EUA na região, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    Atualmente, não existem provas suficientes para associar os grupos.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Por vezes, estes agentes de influência são conhecidos como “Spamouflage Dragon” ou “DRAGONBRIDGE”.
  18. [18]
  19. [19]
  20. [20]

    Veja: A estrutura do Centro de Análise de Ameaças da Microsoft para determinar atribuições de influência. https://go.microsoft.com/fwlink/?linkid=2262095; A diáspora chinesa é comummente referida como “chineses no estrangeiro” ou 华侨 (huaqiao) pelo governo chinês, referindo-se a pessoas com cidadania ou herança chinesa que residem fora do PCC. Para mais detalhes sobre a interpretação de Pequim da diáspora chinesa, consulte: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    O governo chinês difundiu esta narrativa no início da pandemia de COVID-19, consultar: https://go.microsoft.com/fwlink/?linkid=2262170; Os sites nesta rede que promovem esta afirmação incluem: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Defender a Ucrânia: Primeiras Lições da Guerra Cibernética, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Outra interpretação de Xuexi Qiangguo é “Estudar Xi, Fortalecer o País”. O nome é uma brincadeira com o nome de família de Xi Jinping. Os governos, as universidades e as empresas na China promovem fortemente a utilização da aplicação, por vezes envergonhando ou castigando os subordinados por uma utilização pouco frequente, consultar: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    O The Paper pertence ao Shanghai United Media Group, que, por sua vez, pertence ao Comité do Partido Comunista de Xangai: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    O PCC investiu anteriormente em empresas do setor privado que ajudam as campanhas de IO através de técnicas de manipulação de SEO, gostos falsos e seguidores e outros serviços. Os documentos de aquisição revelam essas propostas: https://go.microsoft.com/fwlink/?linkid=2262522

Operações de ciberinfluência Relatórios de estados-nações da Ásia Leste Relatórios de estados-nações Phishing Atores de ameaças

Artigos relacionados

Volt Typhoon visa infraestruturas críticas dos EUA com técnicas living-off-the-land

O ator de ameaças patrocinado pelo estado chinês, Volt Typhoon, foi observado a utilizar técnicas furtivas para visar a infraestrutura crítica dos EUA, a realizar espionagem e a instalar-se em ambientes comprometidos.
Saiba mais

Propaganda na era digital: Como as operações de ciberinfluência correm a confiança

Inspecione o mundo das operações de ciberinfluência, onde estados-nações distribuem propaganda concebida para ameaçar a informação fidedigna que a democracia requer para florescer.
Saiba mais

O Irão está a recorrer a operações de influência cibernética para obter um maior efeito

A Microsoft Threat Intelligence descobriu um aumento das operações de influência cibernética a partir do Irão. Obter informações sobre ameaças com detalhes de novas técnicas e onde existe o potencial para futuras ameaças.
Saiba mais

Siga a Microsoft