Trace Id is missing

Aceleași ținte, manuale de proceduri noi: Actorii de amenințare din regiunea Asia-Pacific folosesc metode unice

Descărcați
Distribuiți
Ilustrație abstractă a unei nave cu cercuri roșii și elemente de plasă neagră pe fundal roz.

Microsoft a observat mai multe tendințe cibernetice și de influență notabile din China și Coreea de Nord începând cu iunie 2023, care arată nu numai insistența asupra țintelor familiare, ci și încercări de a folosi tehnici de influență mai sofisticate pentru a-și atinge obiectivele.

În linii mari, actorii cibernetici chinezi au selectat trei zone țintă în ultimele șapte luni:

  • Un set de actori chinezi a vizat pe scară largă entități din Insulele Pacificului de Sud.
  • Un al doilea set de activitate chineză a continuat o serie de atacuri cibernetice împotriva adversarilor regionali din zona Mării Chinei de Sud.
  • Între timp, un al treilea set de actori chinezi a compromis baza industrială de apărare a Statelor Unite.

Actorii de influență chinezi au preferat să-și perfecționeze tehnicile și să experimenteze cu mediile noi, în loc să extindă întinderea geografică a țintelor. Campaniile de influență chineză au rafinat în continuare conținutul generat de inteligența artificială sau îmbunătățit de aceasta. Actorii de influență din spatele acestor campanii și-au arătat disponibilitatea de a amplifica conținutul media generat de inteligența artificială care le avantajează narațiunile strategice, dar și de a crea propriul conținut video, audio și meme. Asemenea tactici au fost folosite în campanii care alimentează diviziunile din Statele Unite ale Americii și exacerbează rupturile în regiunea Asia-Pacific, inclusiv Taiwan, Japonia și Coreea de Sud. Aceste campanii au ajuns la diferite niveluri de rezonanță, fără ca o formulă unică să producă implicarea constantă a audienței.

Actorii cibernetici nord-coreeni au ajuns în atenția publicului prin creșterea atacurilor asupra lanțului de aprovizionare cu software și a furturilor de criptomonede din ultimul an. Deși campaniile strategice de phishing țintit ce vizează cercetătorii care studiază Peninsula Coreeană au rămas o tendință constantă, actorii de amenințare nord-coreeni au părut să folosească mai mult software legitim pentru a compromite și mai multe victime.

Gingham Typhoon vizează agenții guvernamentale, firme de IT și entități multinaționale din insulele Pacificului de Sud

În vara anului 2023, Investigarea amenințărilor Microsoft a observat o activitate intensă a grupului de spionaj Gingham Typhoon din China, care a vizat aproape toate țările din insulele Pacificului de Sud. Gingham Typhoon este cel mai activ actor din această regiune, atacând organizații internaționale, entități guvernamentale și sectorul IT prin campanii complexe de phishing. Printre victime se numără și critici vocali ai guvernului chinez.

Printre aliații diplomatici ai Chinei care au căzut victime activității Gingham Typhoon recente se numără birouri executive din instituții guvernamentale, departamente comerciale, furnizori de servicii de internet, precum și o entitate din domeniul transportului.

Concurența geopolitică și diplomatică crescută din regiune ar putea motiva aceste activități cibernetice ofensive. China urmărește parteneriate strategice cu națiunile insulelor din Pacificul de Sud pentru a extinde legăturile economice și a intermedia acorduri diplomatice și de securitate. Spionajul cibernetic chinez din această regiune urmărește și partenerii economici.

De exemplu, actorii chinezi s-au implicat în țintirea la scară largă a organizațiilor multinaționale din Papua Noua Guinee, un partener diplomatic tradițional care beneficiază de mai multe proiecte ale Noului Drum al Mătăsii (BRI), inclusiv construirea unei autostrăzi importante care leagă o clădire guvernamentală din Papua Noua Guinee de șoseaua principală din capitală.1

Hartă ce ilustrează frecvența amenințărilor cibernetice țintite asupra națiunilor din insulele Pacificului, cu cercuri de diverse dimensiuni
Figura 1: Evenimente observate de la Gingham Typhoon între iunie 2023 și ianuarie 2024. Această activitate le evidențiază concentrarea pe națiunile din insulele Pacificului de Sud. O mare parte din această țintire este încă în curs de desfășurare, ceea ce înseamnă că s-au concentrat pe această regiune timp de un an. Locațiile geografice și diametrul simbolurilor sunt figurative.

Actorii de amenințare chinezi se concentrează în continuare pe Marea Chinei de Sud pe fondul exercițiilor militare occidentale

Actorii de amenințare din China au continuat să vizeze entități asociate cu interesele economice și militare ale Chinei din Marea Chinei de Sud și din jur. Acești actori au compromis în mod oportunist victime din instituții guvernamentale și de telecomunicații din Asociația națiunilor din Asia de Sud-Est (ASEAN). Actorii cibernetici afiliați Chinei au arătat un interes deosebit pentru ținte asociate cu numeroasele exerciții militare ale Statelor Unite în regiune. În iunie 2023, Raspberry Typhoon, un grup de activități statale din China, a țintit cu succes entități militare și executive din Indonezia și un sistem maritim malaysian în săptămânile dinaintea unui exercițiu naval multilateral rar în care au participat Indonezia, China și Statele Unite ale Americii.

În mod similar, entitățile asociate cu exercițiile militare ale Statelor Unite cu Filipine au fost vizate de un alt actor cibernetic chinez, Flax Typhoon. Între timp, Granite Typhoon, un alt actor de amenințare din China, a compromis în principal entități de telecomunicații din regiune în această perioadă, făcând victime în Indonezia, Malaysia, Filipine, Cambodgia și Taiwan.

De la publicarea pe blogul Microsoft a articolului despre Flax Typhoon, Microsoft a observat ținte Flax Typhoon noi în Filipine, Hong Kong, India și Statele Unite ale Americii, în toamna și iarna anului 2023.2 De asemenea, acest actor atacă frecvent sectorul telecomunicațiilor, ceea ce duce deseori la numeroase efecte în aval.

Hartă ce afișează datele de la Investigarea amenințărilor Microsoft despre cele mai vizate regiuni din Asia,
Figura 2: Evenimente observate care vizează țări din Marea Chinei de Sud sau din preajma acesteia, ale Flax Typhoon, Granite Typhoon sau Raspberry Typhoon. Locațiile geografice și diametrul simbolurilor sunt figurative.

Nylon Typhoon compromite entități de afaceri externe din întreaga lume

Actorul de amenințare din China Nylon Typhoon și-a continuat practica de lungă durată de vizare a entităților în materie de afaceri externe din țări din întreaga lume. În perioada iunie-decembrie 2023, Microsoft a observat Nylon Typhoon la entități guvernamentale din America de Sud, inclusiv în Brazilia, Guatemala, Costa Rica și Peru. De asemenea, actorul de amenințare a fost observat și în Europa, unde a compromis entități guvernamentale din Portugalia, Franța, Spania, Italia și Regatul Unit. În timp ce majoritatea țintelor europene au fost entități guvernamentale, au fost compromise și câteva firme IT. Scopul acestei țintiri este colectarea informațiilor.

Grupul de amenințare chinez vizează entități militare și infrastructură critică din Statele Unite ale Americii

În cele din urmă, Storm-0062 a înregistrat o creștere abruptă a activității în toamna și iarna anului 2023. O mare parte a acestei activități a compromis entități guvernamentale din Statele Unite ale Americii din domeniul apărării, inclusiv contractori care oferă servicii de inginerie tehnică în industria aerospațială, de apărare și a resurselor naturale esențiale pentru securitatea națională a Statelor Unite ale Americii. În plus, Storm-0062 a vizat în mod repetat entități militare din Statele Unite ale Americii, dar nu este clar dacă grupul a și avut succes cu aceste tentative de compromitere.

Și baza industrială de apărare a Statelor Unite rămâne o țintă continuă a Volt Typhoon. În luna mai 2023, Microsoft a atribuit atacuri asupra organizațiilor de infrastructură critică din S.U.A. către Volt Typhoon, un actor statal din China. Volt Typhoon a obținut acces la rețelele organizațiilor prin tehnici cu instrumente native și activitate manuală de la tastatură.3 Aceste tehnici au permis ca Volt Typhoon să mențină pe ascuns accesul neautorizat la rețelele țintă. În perioada iunie-decembrie 2023, Volt Typhoon a vizat în continuare infrastructura critică, dar a urmărit și dezvoltarea resurselor, compromițând dispozitive specifice birourilor mici și de acasă (SOHO) din Statele Unite ale Americii.

În raportul nostru din septembrie 2023, am detaliat cum activele operațiunilor de influență chineză au început să utilizeze inteligența artificială generativă pentru a crea conținut vizual atractiv și captivant. Pe tot parcursul verii, Investigarea amenințărilor Microsoft a continuat să identifice meme generate de inteligența artificială care au vizat Statele Unite ale Americii și au amplificat problemele interne controversate, criticând actuala administrație. Actorii operațiunilor de influență asociați Chinei au continuat să utilizeze conținut media generat de inteligența artificială sau îmbunătățit de aceasta (pe care îl vom numi, de acum înainte, „conținut cu inteligență artificială”) în campanii de influență cu un volum și o frecvență tot mai mari pe tot parcursul anului.

Inteligența artificială crește brusc (dar nu reușește să convingă)

Cel mai prolific dintre acești actori care folosesc conținut cu inteligență artificială este Storm-1376, desemnarea Microsoft pentru actorul asociat Partidului Comunist Chinez (PCC), cunoscut și ca „Spamouflage” sau „Dragonbridge”. Până în iarnă, alți actori asociați cu PCC au început să folosească o gamă mai largă de conținut cu inteligență artificială pentru a crește operațiunile de influență online. Printre altele, s-a observat o creștere notabilă a conținutului cu personalități politice din Taiwan înaintea alegerilor prezidențiale și legislative din 13 ianuarie. Aceasta a fost prima dată când Investigarea amenințărilor Microsoft a observat un actor statal folosind conținut cu inteligență artificială în încercarea de a influența alegeri străine.

Conținut audio generat de inteligența artificială: În ziua alegerilor din Taiwan, Storm-1376 a postat clipuri audio suspectate a fi generate de inteligența artificială cu proprietarul Foxconn, Terry Gou, fost candidat independent în cursa prezidențială a Taiwanului, care s-a retras din cursă în noiembrie 2023. Înregistrările audio foloseau vocea lui Gou pentru a susține un alt candidat în cursa prezidențială. Cel mai probabil, vocea lui Gou din înregistrări a fost generată de inteligența artificială, deoarece Gou nu a făcut o astfel de declarație. YouTube a acționat rapid asupra acestui conținut înainte de a ajunge la un număr semnificativ de utilizatori. Aceste videoclipuri au apărut la câteva zile după ce o scrisoare falsă a lui Terry Gou a circulat online, în care susținea același candidat. Principalele organizații de verificare a informațiilor din Taiwan au demontat scrisoarea. De asemenea, echipa de campanie a lui Gou a declarat că scrisoarea nu este reală și că vor acționa în instanță ca răspuns.4 Gou nu a susținut oficial niciun candidat din cursa prezidențială.
Un bărbat în costum vorbește pe un podium, cu suprapuneri de text în limba chineză și o formă de semnal audio în prim plan.
Figura 3: Videoclipurile publicate de Storm-1376 au folosit înregistrări vocale ale lui Terry Gou generate cu inteligență artificială pentru a-l face să pară ca și cum ar susține un alt candidat.
Prezentatori generați de inteligența artificială: Au apărut prezentatori de știri generați de companii de tehnologie terțe cu ajutorul inteligenței artificiale, folosind instrumentul Capcut al companiei chineze de tehnologie ByteDance, într-o varietate de campanii cu oficiali taiwanezi,5 precum și în mesaje despre Myanmar. Storm-1376 a folosit astfel de prezentatori de știri generați de inteligența artificială cel puțin din februarie 2023,6 dar volumul conținutului său cu acești prezentatori a crescut în ultimele luni.
Colaj cu un vehicul militar
Figura 4: Storm-1376 a postat videoclipuri în limbile mandarină și engleză în care Statele Unite și India sunt numite responsabile pentru tulburările din Myanmar. Aceeași prezentatoare de știri generată de inteligența artificială este utilizată în unele dintre aceste videoclipuri.
Videoclipuri îmbunătățite cu inteligență artificială: După cum au dezvăluit guvernul Canadei și diverși cercetători, videoclipurile îmbunătățite cu inteligență artificială au folosit imaginea unui disident chinez din Canada într-o campanie care viza parlamentari canadieni.7 Aceste videoclipuri au fost doar o parte a unei campanii pe mai multe platforme, care a inclus hărțuirea politicienilor canadieni pe conturile lor de pe rețelele de socializare, și au reprezentat în mod fals disidentul, cu remarci incendiare la adresa guvernului canadian. Anterior, s-au folosit împotriva acestui disident videoclipuri similare îmbunătățite cu inteligență artificială.
O persoană care stă la birou
Figura 5: Videoclipuri deepfake ale disidentului, cu ajutorul inteligenței artificiale, cu un discurs disprețuitor despre religie. Deși se folosesc tactici similare campaniei din Canada, conținutul acestor videoclipuri pare să nu aibă vreo legătură.
Meme generate de inteligența artificială: În decembrie, Storm-1376 a promovat o serie de meme generate de inteligența artificială cu candidatul prezidențial de atunci al Partidului Democrat Progresist (DPP) din Taiwan, William Lai, cu o numărătoare inversă cu „X zile” până la eliminarea DPP de la putere.
Reprezentare grafică cu două imagini alăturate, una dintr ele cu un portret cu x roșu, iar cealaltă cu același portret fără x,
Figura 6: Meme generate cu ajutorul inteligenței artificiale acuză candidatul prezidențial al Partidului Democrat Progresist, William Lai, de deturnări de fonduri din programul de dezvoltare a infrastructurii din Taiwan. Aceste meme conțin caractere simplificate (folosite în Republica Populară Chineză, nu și în Taiwan) și fac parte dintr-o serie care afișează o „numărătoare inversă a zilelor până la eliminarea PDP de la putere”.
Grafic informativ cronologic care arată influența conținutului generat de inteligența artificială asupra alegerilor din Taiwan din decembrie 2023 până în ianuarie 2024.
Figura 7: O cronologie a conținutului generat și îmbunătățit de inteligența artificială, care a apărut în perioada dinaintea alegerilor prezidențiale și parlamentare din Taiwan din ianuarie 2024. Storm-1376 a amplificat mai multe asemenea piese de conținut și a creat conținut în două campanii.

Storm-1376 continuă cu mesajele reactive, uneori cu narațiuni conspiraționiste

Storm-1376, un actor ale cărui operațiuni de influență se întind pe 175 de site-uri și 58 de limbi străine, a continuat să orchestreze frecvent campanii de mesaje reactive în jurul evenimentelor geopolitice importante, în special a celor care prezintă Statele Unite ale Americii într-o lumină nefavorabilă sau promovează interesul Partidului Comunist Chinez în regiunea Asia-Pacific. De la ultimul nostru raport din septembrie 2023, aceste campanii au evoluat în mai multe moduri importante, inclusiv prin încorporarea fotografiilor generate de inteligența artificială pentru a induce publicul în eroare, alimentarea conținutului conspiraționist, în special împotriva guvernului S.U.A., precum și vizarea altor populații prin conținut localizat, de exemplu, în Coreea de Sud.

1. Pretinde că o „armă meteorologică” a guvernului american a declanșat incendiile de vegetație din Hawaii

În august 2023, în timp ce incendiile de vegetație făceau ravagii pe coasta de nord-vest a insulei Maui din Hawaii, Storm-1376 a profitat de ocazie pentru a răspândi narațiuni conspiraționiste pe mai multe platforme de socializare. Aceste postări pretindeau că guvernul S.U.A. a pus foc în mod deliberat pentru a testa o „armă meteorologică” de uz militar. Pe lângă postarea textului în cel puțin 31 de limbi pe zeci de site-uri și platforme, Storm-1376 a folosit imagini generate de inteligența artificială cu reședințe și drumuri de coastă în flăcări, pentru a face conținutul și mai captivant.8

O imagine compusă din mai multe scene cu incendii devastatoare, cu ștampila „Fals” deasupra.
Figura 8: Storm-1376 postează conținut conspirativ la câteva zile după izbucnirea incendiilor de vegetație, pretinzând că acestea au fost rezultatul testării unei „arme meteorologice” de către guvernul S.U.A. Aceste postări au fost deseori însoțite de fotografii cu focuri uriașe, generate cu ajutorul inteligenței artificiale.

2. Amplifică indignarea provocată de deversarea apei reziduale radioactive de către Japonia

Storm-1376 a lansat o campanie de mesaje agresivă, la scară largă, criticând guvernul japonez după ce Japonia a început să deverseze apă reziduală radioactivă tratată în Oceanul Pacific pe 24 august 2023.9 Conținutul Storm-1376 a pus sub semnul întrebării evaluarea științifică a Agenției Internaționale pentru Energie Atomică (AIEA) conform căreia deversarea s-a făcut în condiții de siguranță. Storm-1376 a trimis mesaje la întâmplare pe platformele de socializare în numeroase limbi, inclusiv japoneză, coreeană și engleză. Unele materiale au mers atât de departe încât să acuze Statele Unite ale Americii că au otrăvit intenționat alte țări pentru a menține „hegemonia apei”. Conținutul folosit în această campanie poartă semnele distinctive ale generării cu inteligență artificială.

În unele cazuri, Storm-1376 a reciclat conținutul folosit de alți actori din ecosistemul de propagandă chinez, inclusiv de influenceri de pe rețelele de socializare afiliați presei de stat chineze.10 Influencerii și activele Storm-1376 au încărcat trei videoclipuri identice care criticau deversarea apei reziduale de la Fukushima. Asemenea cazuri de postări de la diferiți actori care utilizează conținut identic și aparent sincron, ceea ce poate indica coordonarea sau direcționarea mesajelor, au crescut pe parcursul anului 2023.

O imagine compusă dintr-o ilustrație satirică a unor persoane, o captură de ecran a unui videoclip cu Godzilla și o postare pe rețelele de socializare
Figura 9: Meme și imagini generate de inteligența artificială critice la adresa deversării apelor reziduale de la Fukushima, de la operațiuni de influență chineze sub acoperire (stânga) și de la oficiali guvernamentali chinezi (centru). Influencerii afiliați presei de stat din China au amplificat mesajele aliniate guvernului, critice la adresa deversării (dreapta).

3. Alimentează dezacordul din Coreea de Sud

Legat de deversarea apelor reziduale de la Fukushima, Storm-1376 a depus un efort susținut pentru a viza Coreea de Sud prin conținut localizat care să amplifice protestele din țară împotriva deversării, precum și conținut critic la adresa guvernului japonez. Această campanie a inclus sute de postări în limba coreeană pe mai multe platforme și site-uri, inclusiv site-uri de socializare din Coreea de Sud, cum ar fi Kakao Story, Tistory și Velog.io.11

Ca parte a acestei campanii țintite, Storm-1376 a amplificat în mod activ comentariile și acțiunile lui Lee Jae-myung (이재명, 李在明), liderul partidului Minjoo și candidat prezidențial necâștigător în 2022. Lee a criticat mișcarea Japoniei, numind-o „teroare prin apă contaminată” și echivalentă cu un „Al Doilea Război din Pacific”. De asemenea, a acuzat actualul guvern al Coreei de Sud de a fi „complice prin sprijinirea” deciziei Japoniei și a făcut greva foamei în semn de protest timp de 24 de zile.12

Bandă desenată cu patru panouri care abordează poluarea mediului și impactul său asupra vieții marine.
Figura 10: Niște meme în limba coreeană de pe platforma de blog sud-coreeană Tistory amplifică dezacordul cu privire la evacuarea apelor reziduale de la Fukushima.

4. Deraiere în Kentucky

În ajunul Zilei Recunoștinței din noiembrie 2023, un tren care transporta sulf topit a deraiat în Rockcastle County, Kentucky. La aproximativ o săptămână după deraiere, Storm-1376 a lansat o campanie pe rețelele de socializare prin care a amplificat evenimentul, a răspândit teorii ale conspirației împotriva guvernului S.U.A. și a subliniat diviziunile politice dintre alegătorii americani, încurajând dezamăgirea față de guvernul S.U.A. și neîncrederea în acesta. Storm-1376 a îndemnat publicul să se gândească dacă nu cumva guvernul S.U.A. ar fi putut cauza deraierea și „ascunde ceva în mod deliberat”.13 Mai mult, unele mesaje au comparat deraierea cu teoriile de mușamalizare a evenimentelor din 11 septembrie 2001 și Pearl Harbor.14

Marionetele operațiunilor de influență chineză caută perspective pe subiecte politice din S.U.A.

În raportul nostru din septembrie 2023, am evidențiat modul în care conturile de pe rețelele de socializare afiliate Partidului Comunist Chinez au început să asume identitatea unor alegători din S.U.A., dându-se drept americani din întreg spectrul politic și răspunzând la comentarii din partea utilizatorilor reali.15 Aceste eforturi de a influența alegerile din S.U.A. de la jumătatea mandatului în 2022 au marcat o premieră în operațiunile de influență chineză observate.

Centrul de analiză a amenințărilor Microsoft (MTAC) a observat o creștere mică, dar constantă, a numărului de conturi marionetă pe care le evaluăm cu grad moderat de încredere ca fiind gestionate de Partidul Comunist Chinez. Pe X (fostul Twitter), aceste conturi au fost create încă din 2012 sau 2013, dar au început să posteze ca personajele actuale abia la începutul anului 2023, ceea ce sugerează că aceste conturi au fost achiziționate recent sau au fost reciclate. Aceste marionete postează atât videoclipuri, meme și grafice informative originale, cât și conținut reciclat de pe alte conturi politice importante. Aceste relatări postează aproape în exclusivitate despre problemele interne din S.U.A., de la consumul american de droguri la politici privind imigrarea și tensiuni rasiale, dar comentează ocazional și subiecte de interes pentru China, cum ar fi deversarea apelor reziduale de la Fukushima sau disidenții chinezi.

Captură de ecran a unui computer cu textul Război și conflicte, probleme cu drogurile, relații rasiale etc.
Figura 11: Pe tot parcursul verii și toamnei, marionetele și personajele chineze au folosit deseori în postările lor elemente vizuale captivante, uneori îmbunătățite prin inteligență artificială generativă, atunci când discutau despre evenimentele actuale și subiectele politice din S.U.A.
Pe lângă graficele informative sau videoclipurile motivate politic, aceste conturi îi întreabă adesea pe urmăritori dacă sunt de acord cu subiectul prezentat. Unele dintre aceste conturi au postat despre diverși candidați prezidențiali și apoi le-au cerut urmăritorilor să comenteze dacă îi susțin sau nu. Această tactică poate avea ca scop obținerea unei implicări suplimentare sau, de ce nu, a unei perspective asupra părerilor americanilor despre politica S.U.A. Mai multe astfel de conturi ar putea avea ca rol colectarea informațiilor și datelor demografice cheie privind votarea din Statele Unite ale Americii.
Imagini comparate pe un ecran divizat: în stânga un avion militar care decolează de pe un portavion, iar în dreapta un grup de oameni în spatele unei bariere
Figura 12: Marionetele chineze solicită opinia altor utilizatori de pe platforma X în legătură cu subiecte politice

Actorii de amenințare cibernetică nord-coreeni au furat sute de milioane de dolari în criptomonede, au efectuat atacuri asupra lanțului de aprovizionare cu software și au vizat adversarii percepuți ai securității naționale în 2023. Operațiunile lor generează venituri pentru guvernul nord-coreean, în special pentru programul de înarmare, și colectează informații despre Statele Unite ale Americii, Coreea de Sud și Japonia.16

Grafice informative ce arată țările și sectoarele cel mai des vizate de amenințări cibernetice.
Figura 13: Țările și sectoarele de activitate cel mai des vizate de Coreea de Nord din iunie 2023 până în ianuarie 2024, pe baza datelor din notificările statelor naționale de la Investigarea amenințărilor Microsoft.

Actorii cibernetici nord-coreeni fură o cantitate record de criptomonede pentru a genera venituri pentru stat.

Națiunile Unite estimează că actorii cibernetici nord-coreeni au furat peste trei miliarde USD în criptomonede din 2017.17 Numai în 2023, au avut loc furturi cu o valoare totală între 600 de milioane și un miliard USD. Se pare că aceste fonduri furate finanțează peste jumătate din programul nuclear și de rachete al țării, ceea ce permite testarea și înmulțirea armelor Coreei de Nord în ciuda sancțiunilor.18 În ultimul an, Coreea de Nord a efectuat numeroase exerciții militare și teste cu rachete și, mai mult, a reușit să lanseze în spațiu un satelit militar de recunoaștere pe 21 noiembrie 2023.19

Trei actori de amenințare monitorizați de Microsoft – Jade Sleet, Sapphire Sleet și Citrine Sleet – s-au concentrat cel mai mult pe țintele din sfera criptomonedelor începând din iunie 2023. Jade Sleet a organizat jafuri de criptomonede de amploare, în timp ce Sapphire Sleet a furat criptomonede în cantități mai mici, dar mai des. Microsoft a atribuit către Jade Sleet furtul a cel puțin 35 de milioane USD de la o firmă de criptomonede din Estonia la începutul lunii iunie 2023. De asemenea, Microsoft a atribuit către Jade Sleet și furtul de peste 125 de milioane USD de la o platformă de criptomonede din Singapore o lună mai târziu. Jade Sleet a început să compromită cazinourile online cu criptomonede în august 2023.

Sapphire Sleet a compromis în mod constant numeroși angajați, inclusiv directori și dezvoltatori, de la entități din domeniul criptomonedelor, societăți de investiții cu capital de risc și alte organizații financiare. De asemenea, Sapphire Sleet a dezvoltat noi tehnici, cum ar fi înregistrarea unor site-uri false de recrutare și trimiterea de invitații false pentru întâlniri virtuale care conțin linkuri către un domeniu al atacatorului. După atacul asupra lanțului de aprovizionare 3CX din martie 2023, Citrine Sleet a continuat prin compromiterea unei firme de criptomonede și active digitale din aval din Turcia. Victima a găzduit o versiune vulnerabilă a aplicației 3CX asociată compromiterii lanțului de aprovizionare.

Actorii cibernetici nord-coreeni amenință sectorul IT cu atacuri asupra lanțului de aprovizionare software și phishing țintit

Actorii de amenințare nord-coreeni au desfășurat și atacuri asupra lanțului de aprovizionare cu software al firmelor IT, ceea ce le-a oferit acces la clienții din aval. Jade Sleet a folosit depozite GitHub și pachete npm transformate în amenințare într-o campanie de inginerie socială prin phishing țintit care a vizat angajații organizațiilor de criptomonede și tehnologie.20 Atacatorii au asumat identitatea dezvoltatorilor sau recrutorilor, au invitat persoanele vizate să colaboreze la un depozit GitHub și le-au convins să cloneze și să execute conținutul acestuia, care conținea pachete npm rău intenționate. Diamond Sleet a compromis lanțul de aprovizionare al unei firme IT din Germania în august 2023 și a transformat în amenințare o aplicație de la o firmă IT din Taiwan pentru a efectua un atac asupra lanțului de aprovizionare în noiembrie 2023. Atât Diamond Sleet, cât și Onyx Sleet au exploatat vulnerabilitatea TeamCity CVE-2023- 42793 în octombrie 2023, care permite ca un atacator să efectueze un atac prin executarea codului de la distanță și să obțină controlul administrativ asupra serverului. Diamond Sleet a folosit această tehnică pentru a compromite sute de victime din diverse sectoare de activitate din Statele Unite ale Americii și țări europene, inclusiv Regatul Unit, Danemarca, Irlanda și Germania. Onyx Sleet a exploatat aceeași vulnerabilitate pentru a compromite cel puțin zece victime, inclusiv un furnizor de software din Australia și o agenție guvernamentală din Norvegia, și a folosit instrumente post-compromitere pentru a executa sarcini suplimentare.

Actorii cibernetici nord-coreeni au vizat Statele Unite ale Americii, Coreea de Sud și aliații lor

Actorii de amenințare nord-coreeni au continuat să vizeze adversarii percepuți ai securității naționale. Această activitate cibernetică a subliniat obiectivul geopolitic al Coreei de Nord de a contracara alianța trilaterală dintre Statele Unite ale Americii, Coreea de Sud și Japonia. Liderii celor trei țări au consolidat acest parteneriat în timpul summitului de la Camp David din august 2023.21 Ruby Sleet și Onyx Sleet au continuat conform tendințelor, vizând organizațiile aerospațiale și de apărare din Statele Unite ale Americii și Coreea de Sud. Emerald Sleet și-a menținut campania de recunoaștere și phishing țintit care vizează diplomați și experți în Peninsula Coreeană din instituții guvernamentale, grupuri de discuții, ONG-uri, mass-media și educație. În iunie 2023, Pearl Sleet și-a continuat operațiunile ce vizează entitățile sud-coreene care interacționează cu dezertorii nord-coreeni și activiștii care se concentrează pe drepturile omului în Coreea de Nord. Microsoft estimează că motivul din spatele acestor activități este colectarea informațiilor.

Actorii nord-coreeni implementează backdoor-uri în software legitim

Actorii de amenințare nord-coreeni au folosit și backdoor-uri din software legitim, profitând de vulnerabilitățile din software-ul existent. În prima jumătate a anului 2023, Diamond Sleet a folosit frecvent malware VNC transformat în amenințare pentru a compromite victimele. În iulie 2023, Diamond Sleet a reluat utilizarea programelor malware de citire PDF transformate în amenințare, tehnici pe care Investigarea amenințărilor Microsoft le-a analizat într-o postare pe blog din septembrie 2022.22 De asemenea, este probabil că Ruby Sleet a folosit un program de instalare cu backdoor al unui program de documente electronice sud-coreean, în decembrie 2023.

Coreea de Nord a utilizat instrumente cu inteligență artificială pentru a realiza activități cibernetice rău intenționate

Actorii de amenințare nord-coreeni se adaptează la epoca inteligenței artificiale. Aceștia învață să folosească instrumente pe platformă LLM (modele lingvistice de mari dimensiuni) pentru a-și face operațiunile mai eficiente și eficace. De exemplu, Microsoft și OpenAI au observat că Emerald Sleet folosește LLM-uri pentru a îmbunătăți campaniile de phishing țintit care vizează experții în Peninsula Coreeană.23 Emerald Sleet a folosit LLM-uri pentru a cerceta vulnerabilități și a efectua acțiuni de recunoaștere asupra organizațiilor și experților care se axează pe Coreea de Nord. De asemenea, Emerald Sleet a folosit LLM-uri pentru a depana probleme tehnice, a efectua sarcini de bază prin script și a redacta conținut pentru mesajele de phishing țintit. În parteneriat cu OpenAI, Microsoft dezactivează conturile și activele asociate cu Emerald Sleet.

China va sărbători cea de-a 75-a aniversare de la înființarea Republicii Populare Chineze în octombrie, iar Coreea de Nord va promova în continuare programele cheie de înarmare avansată. Între timp, pe măsură ce persoanele din India, Coreea de Sud și Statele Unite ale Americii se îndreaptă spre urne, este probabil să vedem actori cibernetici și de influență chinezi și, într-o oarecare măsură, actori cibernetici nord-coreeni, care acționează pentru a viza aceste alegeri.

Cel puțin, China va crea și amplifica conținutul generat de inteligența artificială care îi avantajează pozițiile în aceste alegeri importante. În timp ce impactul și influența unui astfel de conținut asupra publicului rămân scăzute, experimentele din ce în ce mai numeroase ale Chinei pentru îmbunătățirea memelor, videoclipurilor și a conținutului audio vor continua și se pot dovedi eficiente în cele din urmă. Actorii cibernetici chinezi au efectuat timp îndelungat acțiuni de recunoaștere în instituțiile politice din S.U.A. și ne așteptăm să vedem cum actorii de influență interacționează cu americanii pentru implicare și, eventual, pentru a cerceta perspective asupra politicii S.U.A.

În cele din urmă, pe măsură ce Coreea de Nord se angajează în noi politici guvernamentale și urmărește planuri ambițioase de testare a armelor, ne putem aștepta la jafuri de criptomonede din ce în ce mai sofisticate și la atacuri asupra lanțului de aprovizionare care vizează industria de apărare, care au ca scop atât direcționarea banilor către regim, cât și facilitarea dezvoltării unor noi capabilități militare.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 ianuarie 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 ianuarie 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Campania posibil chineză «Spamouflage» vizează zeci de parlamentari canadieni într-o campanie de dezinformare”, octombrie 2023,

  8. [8]
  9. [9]

    Mai multe surse au documentat campania de propagandă în curs a guvernului chinez, menită să provoace indignarea internațională față de decizia Japoniei de a deversa apele reziduale din accidentul nuclear de la Fukushima Daiichi din 2011: Dezinformarea Chinei alimentează furia pentru deversarea apelor de la Fukushima”, 31 august 2023„Japonia este vizată de propaganda chineză și o campanie online sub acoperire”, 8 iunie 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operațiuni de influență cibernetică Stat național Rapoarte privind amenințări în numele unei țări Inginerie socială Actori de amenințare

Articole asociate

Amenințările digitale din Asia de Est cresc în amploare și eficacitate

Descoperiți și explorați tendințele emergente din dinamica peisajului de amenințări din Asia de Est, unde China își extinde operațiunile cibernetice și de influență la nivel larg, în timp ce specialiștii în amenințări cibernetice din Coreea de Nord demonstrează un nivel tot mai avansat de sofisticare.
Aflați mai multe

Alimentarea din economia bazată pe încredere: frauda prin inginerie socială

Explorați un peisaj digital în evoluție în care încrederea este atât o valoare, cât și o vulnerabilitate. Descoperiți tacticile de fraudă prin inginerie socială pe care atacatorii cibernetici le utilizează cel mai frecvent și analizați strategiile care vă pot ajuta să identificați și să depășiți amenințările de inginerie socială concepute pentru a manipula natura umană.
Aflați mai multe

Iranul sporește brusc operațiunile de influență cu suport cibernetic în sprijinul Hamas

Descoperiți detaliile operațiunilor de influență cu suport cibernetic ale Iranului în sprijinul Hamas în Israel. Aflați cum au evoluat operațiunile în diferite faze ale războiului și examinați cele patru tactici, tehnici și proceduri (TTP) de influență cheie pe care le preferă Iranul.
Aflați mai multe

Urmăriți Microsoft Security