รับข้อมูลเชิงลึกจากผู้เชี่ยวชาญโดยตรงในพ็อดแคสต์ Microsoft Threat Intelligence ฟังเลย

ภัยคุกคามทางดิจิทัลจากเอเชียตะวันออกขยายวงกว้างและมีประสิทธิภาพมากขึ้น

บทนำ

แนวโน้มที่เกิดขึ้นใหม่หลายประการแสดงให้เห็นถึงภูมิทัศน์ด้านภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วทั่วทั้งภูมิภาคเอเชียตะวันออก โดยจีนดำเนินการทั้ง กิจกรรมทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสาร (IO) ในวงกว้าง และผู้ดำเนินการภัยคุกคามทางไซเบอร์ของเกาหลีเหนือแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้น

ประการแรก กลุ่มภัยคุกคามทางไซเบอร์ที่กำกับดูแลโดยรัฐบาลจีนได้ให้ความสนใจเป็นพิเศษในภูมิภาคทะเลจีนใต้ โดยดำเนินการจารกรรมทางไซเบอร์กับรัฐบาลและหน่วยงานสำคัญอื่นๆ ที่อยู่รายรอบพื้นที่ทางทะเลนี้ ในขณะเดียวกัน การที่จีนมุ่งเป้าโจมตีภาคกลาโหมของสหรัฐอเมริกาและตรวจสอบ โครงสร้างพื้นฐานของสหรัฐอเมริกา ส่งสัญญาณถึง ความพยายามที่จะหาความได้เปรียบทางการแข่งขันสำหรับความสัมพันธ์ระหว่างประเทศและเป้าหมายเชิงยุทธศาสตร์ทางการทหารของจีน

ประการที่สอง จีนมีประสิทธิภาพมากขึ้นในการมีส่วนร่วมกับผู้ใช้ โซเชียลมีเดีย ด้วย IO ในปีที่ผ่านมา แคมเปญการแทรกแซงด้านข้อมูลข่าวสารทางออนไลน์ของจีนพึ่งพาการดำเนินการจำนวนมหาศาลเพื่อเข้าถึงผู้ใช้ผ่านเครือข่ายบัญชีโซเชียลมีเดียปลอมมาอย่างยาวนาน อย่างไรก็ตาม ตั้งแต่ปี 2022 เป็นต้นมา เครือข่ายโซเชียลมีเดียที่สนับสนุนจีนได้มีส่วนร่วมโดยตรงกับผู้ใช้จริงบนโซเชียลมีเดีย โดยกำหนดเป้าหมายไปยังผู้ใช้ที่กำหนดในเนื้อหาเกี่ยวกับการเลือกตั้งของสหรัฐอเมริกา และสวมรอยเป็นผู้มีสิทธิเลือกตั้งชาวอเมริกัน นอกจากนี้ โครงการริเริ่มด้านอินฟลูเอนเซอร์บนโซเชียลมีเดียหลายภาษาที่กำกับดูแลโดยรัฐบาลจีนได้ประสบความสำเร็จในการดึงดูดกลุ่มเป้าหมายในอย่างน้อย 40 ภาษา และเพิ่มจำนวนผู้ชมเป็นมากกว่า 103 ล้านคนอีกด้วย

ประการที่สาม จีนยังคงขยายขนาดแคมเปญ IO อย่างต่อเนื่องในปีที่ผ่านมา โดยขยายความพยายามไปยังภาษาใหม่และแพลตฟอร์มใหม่เพื่อเพิ่มตัวตนในระดับสากลfootprint บนโซเชียลมีเดีย แคมเปญปรับใช้บัญชีปลอมหลายพันรายการบนเว็บไซต์หลายสิบแห่งเพื่อเผยแพร่มีม วิดีโอ และข้อความในหลายภาษา ในสื่อข่าวสารออนไลน์ สื่อของรัฐบาลจีนมีความเชี่ยวชาญและประสิทธิภาพในการกำหนดจุดยืนของตนเองเป็นกระบอกเสียงที่เชื่อถือได้ในวาทกรรมระหว่างประเทศเกี่ยวกับจีน โดยใช้วิธีการมากมายเพื่อพยายามดำเนินการแทรกแซงด้านข้อมูลข่าวสารในสื่อมวลชนต่างๆ ทั่วโลก แคมเปญหนึ่งผลักดันการโฆษณาชวนเชื่อของพรรคคอมมิวนิสต์จีน (CCP) ผ่านทางเว็บไซต์ข่าวที่มีการแปลเป็นภาษาท้องถิ่น โดยมุ่งเป้าหมายไปยังชาวจีนพลัดถิ่นในกว่า 35 ประเทศ

ประการสุดท้าย เกาหลีเหนือซึ่งแตกต่างจากจีนตรงที่ยังคงขาดความสามารถในฐานะผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่ซับซ้อน ก็ยังคงถือเป็นภัยคุกคามทางไซเบอร์ที่น่าเกรงขาม จากกลยุทธ์อื่นๆ ทั้งหมด เกาหลีเหนือยังคงแสดงความสนใจอย่างต่อเนื่องในการรวบรวมข้อมูลข่าวกรองและเพิ่มความซับซ้อนทางยุทธวิธีโดยใช้ประโยชน์จากการโจมตีห่วงโซ่อุปทานที่เรียงซ้อนกันและการขโมยสกุลเงินดิจิทัล

การดำเนินการทางไซเบอร์ของจีนกลับมามุ่งเป้าโจมตีทะเลจีนใต้และอุตสาหกรรมหลักในสหรัฐอเมริกาอีกครั้ง

นับตั้งแต่ต้นปี 2023 เป็นต้นมา Microsoft Threat Intelligence ได้ระบุจุดที่ผู้ดำเนินการภัยคุกคามทางไซเบอร์ที่กำกับดูแลโดยรัฐบาลจีนมุ่งเน้นเป็นพิเศษทั้งสามจุด ได้แก่ ทะเลจีนใต้ ฐานอุตสาหกรรมด้านกลาโหมของสหรัฐอเมริกา และโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา

การมุ่งเป้าโจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนสะท้อนเป้าหมายเชิงยุทธศาสตร์ในทะเลจีนใต้

ผู้ดำเนินการภัยคุกคามที่กำกับดูแลโดยรัฐบาลจีนยังคงแสดงความสนใจอย่างต่อเนื่องในทะเลจีนใต้และไต้หวัน ซึ่งสะท้อนถึงผลประโยชน์ทางเศรษฐกิจ กลาโหม และการเมืองที่หลากหลายของจีนในภูมิภาคนี้¹ การอ้างสิทธิ์ในพื้นที่ที่ทับซ้อนกัน ความตึงเครียดข้ามช่องแคบที่เพิ่มขึ้น และอิทธิพลทางการทหารของสหรัฐอเมริกาที่เพิ่มขึ้น ล้วนเป็นแรงจูงใจในการดำเนินกิจกรรมทางไซเบอร์เชิงรุกของจีน²

Microsoft ได้ติดตาม Raspberry Typhoon (RADIUM) ในฐานะกลุ่มภัยคุกคามหลักที่มุ่งเป้าโจมตีประเทศต่างๆ ที่อยู่รายรอบทะเลจีนใต้ Raspberry Typhoon มุ่งเป้าโจมตีกระทรวง หน่วยงานทางการทหาร และหน่วยงานขององค์กรที่เชื่อมต่อกับโครงสร้างพื้นฐานที่สำคัญ โดยเฉพาะอย่างยิ่งโทรคมนาคม ตั้งแต่เดือนมกราคม 2023 เป็นต้นมา Raspberry Typhoon ยังคงดำเนินการอย่างไม่ลดละ เมื่อมุ่งเป้าโจมตีกระทรวงหรือโครงสร้างพื้นฐาน โดยทั่วไปแล้ว Raspberry Typhoon จะดำเนินการรวบรวมข้อมูลข่าวกรองและเรียกใช้มัลแวร์ โดยมีเป้าหมายที่แตกต่างกันไปในหลายประเทศ ตั้งแต่กระทรวงที่เกี่ยวข้องกับกลาโหมและข่าวกรอง ไปจนถึงกระทรวงที่เกี่ยวข้องกับเศรษฐกิจและการค้า

Flax Typhoon (Storm-0919) ถือเป็นกลุ่มภัยคุกคามที่มีชื่อเสียงที่สุดที่มุ่งเป้าโจมตีเกาะไต้หวัน กลุ่มนี้มุ่งเป้าโจมตีภาคโทรคมนาคม การศึกษา เทคโนโลยีสารสนเทศ และโครงสร้างพื้นฐานด้านพลังงานเป็นหลัก โดยทั่วไปแล้วจะใช้ประโยชน์จากอุปกรณ์ VPN แบบกำหนดเองเพื่อสร้างสถานะภายในเครือข่ายเป้าหมายโดยตรง ในทำนองเดียวกัน Charcoal Typhoon (CHROMIUM) มุ่งเป้าโจมตีสถาบันการศึกษา โครงสร้างพื้นฐานด้านพลังงาน และการผลิตที่ใช้เทคโนโลยีขั้นสูงของไต้หวัน ในปี 2023 ทั้ง Charcoal Typhoon และ Flax Typhoon มุ่งเป้าโจมตีหน่วยงานด้านการบินและอวกาศของไต้หวันที่ทำสัญญากับกองทัพไต้หวัน

แผนที่ของภูมิภาคทะเลจีนใต้ที่มีการไฮไลต์เหตุการณ์ที่สังเกตพบในแต่ละประเทศ

รูปภาพที่ 1: เหตุการณ์ที่สังเกตพบในแต่ละประเทศในทะเลจีนใต้ตั้งแต่เดือนมกราคม 2022 ถึงเมษายน 2023 เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 4 ในรายงานฉบับเต็ม

ผู้ดำเนินการภัยคุกคามของจีนหันเหความสนใจไปยังเกาะกวมในขณะที่สหรัฐอเมริกาสร้างฐานหน่วยบัญชาการนาวิกโยธิน

กลุ่มภัยคุกคามที่อยู่ในจีนหลายกลุ่มยังคงมุ่งเป้าโจมตีฐานอุตสาหกรรมด้านกลาโหมของสหรัฐอเมริกา ได้แก่ Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391), และ Mulberry Typhoon (MANGANESE) แม้ว่าเป้าหมายของทั้งสามกลุ่มนี้จะทับซ้อนกันบ้างเป็นครั้งคราว แต่กลุ่มเหล่านี้ล้วนเป็นผู้ดำเนินการที่แตกต่างกันอย่างชัดเจนโดยมีโครงสร้างพื้นฐานและความสามารถที่ไม่เหมือนกัน³

Circle Typhoon ดำเนินกิจกรรมทางไซเบอร์ที่หลากหลายเพื่อโจมตีฐานอุตสาหกรรมด้านกลาโหมของสหรัฐอเมริกา รวมถึงการพัฒนาทรัพยากร การรวบรวม การเข้าถึงครั้งแรก และการเข้าถึงข้อมูลประจำตัว Circle Typhoon มักจะใช้ประโยชน์จากอุปกรณ์ VPN เพื่อมุ่งเป้าโจมตีผู้รับเหมาด้าน IT และกลาโหมในสหรัฐอเมริกา Volt Typhoon ยังได้ดำเนินการสอดแนมผู้รับเหมาด้านกลาโหมจำนวนมากของสหรัฐอเมริกาอีกด้วย เกาะกวมถือเป็นหนึ่งในเป้าหมายหลักของแคมเปญเหล่านี้ โดยเฉพาะอย่างยิ่งหน่วยงานด้านการติดต่อสื่อสารผ่านดาวเทียมและโทรคมนาคมที่ตั้งอยู่ที่นั่น⁴

กลยุทธ์ที่พบบ่อยของ Volt Typhoon เกี่ยวข้องกับการโจมตีเราเตอร์ในสำนักงานขนาดเล็กและที่บ้าน ซึ่งโดยทั่วไปมีไว้เพื่อจุดประสงค์ด้านโครงสร้างพื้นฐานของอาคาร⁵ Mulberry Typhoon ยังมุ่งเป้าโจมตีฐานอุตสาหกรรมด้านกลาโหมของสหรัฐอเมริกา โดยเฉพาะอย่างยิ่งด้วยการใช้อุปกรณ์กำหนดเป้าหมายการโจมตีช่องโหว่แบบ Zero-day⁶ การมุ่งเป้าโจมตีเกาะกวมที่เพิ่มขึ้นมีความสำคัญเนื่องจากตำแหน่งที่ถือเป็นดินแดนของสหรัฐอเมริกาที่อยู่ใกล้กับเอเชียตะวันออกมากที่สุด และมีความสำคัญต่อยุทธศาสตร์ของสหรัฐอเมริกาในภูมิภาค

กลุ่มภัยคุกคามของจีนมุ่งเป้าโจมตีโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา

Microsoft ได้สังเกตพบกลุ่มภัยคุกคามที่กำกับดูแลโดยรัฐบาลจีนที่มุ่งเป้าโจมตีโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกาในหลายภาคส่วนและการพัฒนาทรัพยากรที่สำคัญในช่วงหกเดือนที่ผ่านมา Volt Typhoon เป็นกลุ่มหลักที่อยู่เบื้องหลังกิจกรรมนี้ตั้งแต่ช่วงฤดูร้อนปี 2021 เป็นอย่างน้อย และยังคงไม่ทราบขอบเขตที่แน่ชัดของกิจกรรมนี้

ภาคส่วนที่ตกเป้าหมายของการโจมตี ได้แก่ การขนส่ง (เช่น ท่าเรือและทางรถไฟ) สาธารณูปโภค (เช่น พลังงานและการบำบัดน้ำ) โครงสร้างพื้นฐานทางการแพทย์ (รวมถึงโรงพยาบาล) และโครงสร้างพื้นฐานด้านโทรคมนาคม (รวมถึงการติดต่อสื่อสารผ่านดาวเทียมและระบบใยแก้วนำแสง) Microsoft ประเมินว่าแคมเปญนี้สามารถช่วยให้จีนมีศักยภาพในการขัดขวางโครงสร้างพื้นฐานและการติดต่อสื่อสารที่สำคัญระหว่างสหรัฐอเมริกาและเอเชียได้⁷

กลุ่มภัยคุกคามที่อยู่ในจีนมุ่งเป้าโจมตีองค์กรประมาณ 25 แห่ง รวมถึงหน่วยงานรัฐบาลของสหรัฐอเมริกา

เริ่มตั้งแต่วันที่ 15 พฤษภาคมเป็นต้นมา Storm-0558 ซึ่งเป็นผู้ดำเนินการภัยคุกคามที่อยู่ในจีน ได้ใช้โทเค็นการรับรองความถูกต้องปลอมเพื่อเข้าถึงบัญชีอีเมลลูกค้า Microsoft ขององค์กรประมาณ 25 แห่ง รวมถึงหน่วยงานรัฐบาลของสหรัฐอเมริกาและยุโรป⁸ โดย Microsoft บล็อกแคมเปญนี้สำเร็จแล้ว วัตถุประสงค์ของการโจมตีคือเพื่อให้สามารถเข้าถึงบัญชีอีเมลที่ไม่ได้รับอนุญาตได้ Microsoft ประเมินว่ากิจกรรมนี้สอดคล้องกับวัตถุประสงค์ด้านการจารกรรมของ Storm-0558 โดยก่อนหน้านี้ Storm-0558 มุ่งเป้าโจมตีหน่วยงานด้านการทูตของสหรัฐอเมริกาและยุโรป

จีนยังมุ่งเป้าโจมตีพันธมิตรเชิงยุทธศาสตร์อีกด้วย

ในขณะที่จีนได้ขยายความสัมพันธ์แบบทวิภาคีและความร่วมมือระดับสากลผ่านโครงการ Belt and Road Initiative (BRI) ผู้ดำเนินการภัยคุกคามที่กำกับดูแลโดยรัฐบาลจีนได้ดำเนินการทางไซเบอร์แบบคู่ขนานกับหน่วยงานภาครัฐและเอกชนทั่วโลกไปด้วย กลุ่มภัยคุกคามที่อยู่ในจีนกำหนดมุ่งเป้าโจมตีประเทศที่มีนโยบายสอดคล้องกับกลยุทธ์ BRI ของ CCP รวมถึงหน่วยงานในคาซัคสถาน นามิเบีย เวียดนาม และอื่นๆ⁹ ในขณะเดียวกัน กิจกรรมด้านภัยคุกคามแบบกระจายตัวของจีนมุ่งเป้าโจมตีกระทรวงต่างประเทศที่อยู่ทั่วยุโรป ละตินอเมริกา และเอเชียอย่างต่อเนื่อง ซึ่งมีแนวโน้มว่าจะมุ่งเป้าประสงค์ไปที่การจารกรรมทางเศรษฐกิจหรือการรวบรวมข้อมูลข่าวกรอง¹⁰ ในขณะที่จีนขยายอิทธิพลไปทั่วโลก กิจกรรมของกลุ่มภัยคุกคามที่กำกับดูแลโดยรัฐบาลจีนก็จะเกิดขึ้นตามมาเช่นกัน เมื่อไม่นานนี้ในเดือนเมษายน 2023 ทางด้านของ Twill Typhoon (TANTALUM) ประสบความสำเร็จในการโจมตีอุปกรณ์ของรัฐบาลในแอฟริกาและยุโรป รวมถึงองค์กรด้านมนุษยธรรมทั่วโลก

การดำเนินการด้านโซเชียลมีเดียที่สนับสนุน CCP ช่วยเพิ่มการมีส่วนร่วมของผู้ชมอย่างมีประสิทธิภาพ

การดำเนินการแทรกแซงด้านข้อมูลข่าวสารในทางลับที่กำกับดูแลโดย CCP ได้เริ่มประสบความสำเร็จในการมีส่วนร่วมกับกลุ่มเป้าหมายบนโซเชียลมีเดียในระดับที่สูงกว่าที่สังเกตพบก่อนหน้านี้ ซึ่งแสดงถึงความซับซ้อนและการพัฒนาแอสเซท IO ออนไลน์ในระดับที่สูงขึ้น ก่อนการเลือกตั้งกลางเทอมของสหรัฐอเมริกาในปี 2022 ทางด้านของ Microsoft และพันธมิตรในอุตสาหกรรมได้สังเกตพบบัญชีโซเชียลมีเดียที่กำกับดูแลโดย CCP ที่แอบอ้างเป็นผู้มีสิทธิเลือกตั้งในสหรัฐอเมริกา ซึ่งถือเป็นดินแดนแห่งใหม่สำหรับ IO ที่กำกับดูแลโดย CCP¹¹ บัญชีเหล่านี้สวมรอยเป็นชาวอเมริกันที่มีความคิดเห็นทางการเมืองในทุกรูปแบบและตอบสนองต่อข้อคิดเห็นจากผู้ใช้จริง

บัญชีเหล่านี้แสดงกลยุทธ์ เทคนิค และกระบวนการ (TTP) ด้าน IO ของจีนที่ได้รับการบันทึกไว้เป็นหลักฐานอย่างดีจำนวนมากทั้งในแง่พฤติกรรมและเนื้อหา ตัวอย่างเช่น: บัญชีที่โพสต์เป็นภาษาจีนกลางในช่วงแรกก่อนที่จะเปลี่ยนเป็นภาษาอื่น, การมีส่วนร่วมกับเนื้อหาจากแอสเซทอื่นๆ ที่สนับสนุนจีนทันทีหลังจากโพสต์ และการใช้รูปแบบการโต้ตอบแบบ “หว่านพืชหวังผล”¹² โดยมีความแตกต่างจากแคมเปญ IO ก่อนหน้านี้จากผู้ดำเนินการที่กำกับดูแลโดย CCP ที่ใช้ชื่อบัญชี ชื่อที่แสดง และรูปโปรไฟล์ที่สร้างขึ้นโดยคอมพิวเตอร์และสังเกตพบได้ง่าย¹³ ซึ่งบัญชีที่ซับซ้อนมากขึ้นเหล่านี้ดำเนินการโดยบุคคลจริงที่ใช้ข้อมูลประจำตัวที่สมมติขึ้นหรือถูกขโมยมาเพื่อปกปิดความเกี่ยวข้องของบัญชีกับ CCP

บัญชีโซเชียลมีเดียในเครือข่ายนี้แสดงพฤติกรรมที่คล้ายคลึงกับกิจกรรมที่มีการรายงานว่าดำเนินการโดยกลุ่มผู้นำระดับสูงในกระทรวงพิทักษ์สันติราษฎร์ (MPS) ที่เรียกว่า 912 Special Working Group ตามที่กระทรวงยุติธรรมสหรัฐระบุ กลุ่มดังกล่าวได้ดำเนินการสร้างกลุ่มผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารบนบนโซเชียลมีเดียซึ่งสร้างตัวตนออนไลน์ปลอมหลายพันรายการ และผลักดันการโฆษณาชวนเชื่อของ CCP โดยมุ่งเป้าโจมตีนักเคลื่อนไหวเพื่อประชาธิปไตย

ตั้งแต่ประมาณเดือนมีนาคม 2023 เป็นต้นมา แอสเซท IO ของจีนที่ต้องสงสัยบางส่วนบนโซเชียลมีเดียในฝั่งตะวันตกได้เริ่มใช้ประโยชน์จากปัญญาประดิษฐ์ (AI) สร้างสรรค์เพื่อสร้างเนื้อหาภาพ เนื้อหาภาพที่มีคุณภาพค่อนข้างสูงนี้ได้ดึงดูดการมีส่วนร่วมในระดับที่สูงขึ้นจากผู้ใช้โซเชียลมีเดียจริง รูปภาพเหล่านี้มีลักษณะที่เห็นได้ชัดเจนของการสร้างรูปภาพที่ขับเคลื่อนโดย Diffusion และสะดุดตามากกว่าเนื้อหาภาพที่ไม่เป็นธรรมชาติในแคมเปญก่อนหน้านี้ ผู้ใช้โพสต์ภาพเหล่านี้ซ้ำบ่อยขึ้น แม้ว่าจะมีตัวบ่งชี้ทั่วไปถึงการสร้างรูปภาพจาก AI เช่น มีนิ้วมากกว่าห้านิ้วบนมือของบุคคลก็ตาม¹⁴

โพสต์บนโซเชียลมีเดียที่แสดงรูปภาพจากแคมเปญ Black Lives Matter ที่วางเคียงข้างกัน

รูปภาพที่ 2: ภาพกราฟิกจากแคมเปญ Black Lives Matter อัปโหลดครั้งแรกโดยบัญชีอัตโนมัติที่กำกับดูแลโดย CCP จากนั้นจึงอัปโหลดโดยบัญชีที่แอบอ้างเป็นผู้มีสิทธิเลือกตั้งหัวอนุรักษ์นิยมของสหรัฐอเมริกาในอีกเจ็ดชั่วโมงต่อมา

รูปภาพโฆษณาชวนเชื่อของเทพีเสรีภาพที่สร้างขึ้นโดย AI

รูปภาพที่ 3: ตัวอย่างรูปภาพที่สร้างขึ้นโดย AI ที่โพสต์โดยแอสเซทที่ต้องสงสัยว่าเป็น IO ของจีน มือของเทพีเสรีภาพที่ถือคบเพลิงมีมากกว่าห้านิ้ว เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 6 ในรายงานฉบับเต็ม

การจัดประเภทของอินฟลูเอนเซอร์ทั้งสี่หมวดหมู่ ได้แก่ นักข่าว อินฟลูเอนเซอร์สายไลฟ์สไตล์ บุคคลระดับเดียวกัน และชนกลุ่มน้อย โดยครอบคลุมต่อเนื่องตั้งแต่แบบเปิดเผยไปจนถึงซ่อนเร้น

รูปภาพที่ 4: โครงการริเริ่มนี้ประกอบด้วยอินฟลูเอนเซอร์ซึ่งแบ่งออกเป็นสี่หมวดหมู่กว้างๆ ตามลักษณะภูมิหลัง กลุ่มเป้าหมาย การสรรหาบุคลากร และกลยุทธ์การจัดการ บุคคลทุกคนที่รวมอยู่ในการวิเคราะห์ของเรามีความสัมพันธ์โดยตรงกับสื่อของรัฐบาลจีน (เช่น ผ่านการจ้างงาน การยอมรับคำเชิญในการเดินทาง หรือการแลกเปลี่ยนทางการเงินอื่นๆ) เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 7 ในรายงานฉบับเต็ม

โครงการริเริ่มด้านอินฟลูเอนเซอร์ของรัฐบาลจีนบนสื่อต่างๆ

กลยุทธ์อีกประการหนึ่งที่ดึงดูดการมีส่วนร่วมอย่างมีความหมายบนโซเชียลมีเดียคือแนวคิด “สตูดิโอรวมบุคคลผู้มีชื่อเสียงทางอินเทอร์เน็ตหลายภาษา” (多语种网红工作室) ของ CCP¹⁵ พนักงานและผู้เกี่ยวข้องจากสื่อของรัฐบาลจีนมากกว่า 230 คนใช้ประโยชน์จากพลังแห่งการมีปากมีเสียงที่แท้จริง โดยปลอมตัวเป็นอินฟลูเอนเซอร์อิสระบนแพลตฟอร์มโซเชียลมีเดียฝั่งตะวันตกรายใหญ่ทั้งหมด¹⁶ ในปี 2022 และ 2023 อินฟลูเอนเซอร์หน้าใหม่ยังคงเปิดตัวอย่างต่อเนื่องโดยเฉลี่ยทุกๆ เจ็ดสัปดาห์ อินฟลูเอนเซอร์เหล่านี้ที่ได้รับการสรรหา ฝึกอบรม เลื่อนตำแหน่ง และได้รับทุนสนับสนุนจาก China Radio International (CRI) และสื่อมวลชนอื่นๆ ของรัฐบาลจีน จะเผยแพร่การโฆษณาชวนเชื่อของ CCP ที่แปลเป็นภาษาท้องถิ่นอย่างเชี่ยวชาญ ซึ่งบรรลุผลด้านการมีส่วนร่วมที่มีความหมายกับกลุ่มเป้าหมายทั่วโลก โดยมีผู้ติดตามรวมกันอย่างน้อย 103 ล้านคนในหลายแพลตฟอร์มที่พูดอย่างน้อย 40 ภาษา

แม้ว่าอินฟลูเอนเซอร์จะโพสต์เนื้อหาเชิงไลฟ์สไตล์ที่ไม่มีพิษภัยเป็นส่วนใหญ่ แต่เทคนิคนี้ช่วยปกปิดการโฆษณาชวนเชื่อที่สนับสนุน CCP ซึ่งพยายามปรับภาพลักษณ์ของจีนในต่างประเทศให้อ่อนลง

กลยุทธ์การสรรหาอินฟลูเอนเซอร์ของสื่อของรัฐบาลจีนดูเหมือนจะมีการรับสมัครบุคคลสองกลุ่มที่แตกต่างกัน ได้แก่ บุคคลที่มีประสบการณ์ในการทำงานด้านสื่อสารมวลชน (โดยเฉพาะอย่างยิ่งที่สื่อมวลชนของรัฐบาลจีน) และบุคคลที่เพิ่งสำเร็จการศึกษาจากโครงการภาษาต่างประเทศ โดยเฉพาะอย่างยิ่ง China Media Group (บริษัทแม่ของ CRI และ CGTN) ดูเหมือนจะมีการรับสมัครบุคคลที่สำเร็จการศึกษาจากโรงเรียนสอนภาษาต่างประเทศชั้นนำของจีนโดยตรง เช่น Beijing Foreign Studies University และ Communication University of China บุคคลที่ไม่ได้รับการคัดเลือกโดยตรงจากมหาวิทยาลัยมักเป็นอดีตนักข่าวและนักแปล ซึ่งปกปิดตัวบ่งชี้ที่ชัดเจนถึงความเกี่ยวข้องกับสื่อของรัฐบาลออกจากโปรไฟล์ของตนหลังจากผ่านการ “รีแบรนด์” ในฐานะอินฟลูเอนเซอร์

Song Siao ที่เป็นอินฟลูเอนเซอร์ที่พูดภาษาลาวได้โพสต์ Vlog ด้านไลฟ์สไตล์ที่พูดคุยถึงการฟื้นตัวของเศรษฐกิจจีนท่ามกลางการระบาดใหญ่ของโควิด-19

รูปภาพที่ 5: Song Siao ที่เป็นอินฟลูเอนเซอร์ที่พูดภาษาลาวได้โพสต์วล็อกด้านไลฟ์สไตล์ที่พูดคุยถึงการฟื้นตัวของเศรษฐกิจจีนท่ามกลางการระบาดใหญ่ของโควิด-19 ในวิดีโอที่บันทึกด้วยตนเอง เขาได้เยี่ยมชมตัวแทนจำหน่ายรถยนต์ในกรุงปักกิ่งและพูดคุยกับคนท้องถิ่น เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 8 ในรายงานฉบับเต็ม

โพสต์บนโซเชียลของ Techy Rachel ซึ่งเป็นอินฟลูเอนเซอร์ที่ใช้ภาษาอังกฤษ

รูปภาพที่ 6: Techy Rachel ซึ่งเป็นอินฟลูเอนเซอร์ที่ใช้ภาษาอังกฤษที่มักโพสต์เกี่ยวกับนวัตกรรมและเทคโนโลยีของจีน เบี่ยงเบนเนื้อหาไปจากธีมเดิมของเธอเพื่อแสดงความเห็นในการพูดคุยเกี่ยวกับบอลลูนสอดแนมของจีน เช่นเดียวกับสื่อมวลชนอื่นๆ ของรัฐบาลจีน เธอปฏิเสธว่าไม่ได้มีการใช้บอลลูนดังกล่าวเพื่อการจารกรรม เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 8 ในรายงานฉบับเต็ม

อินฟลูเอนเซอร์เข้าถึงผู้ชมทั่วโลกในภาษาต่างๆ อย่างน้อย 40 ภาษา

การกระจายตัวทางภูมิศาสตร์ของภาษาที่พูดโดยอินฟลูเอนเซอร์ที่กำกับดูแลโดยรัฐบาลเหล่านี้ แสดงอิทธิพลในระดับสากลและการจัดลำดับความสำคัญในระดับภูมิภาคที่เพิ่มขึ้นของจีน อินฟลูเอนเซอร์ที่พูดภาษาเอเชียอื่นๆ ยกเว้นภาษาจีน เช่น ฮินดี สิงหล ปัชโต ลาว เกาหลี มาเลย์ และเวียดนาม ถือเป็นอินฟลูเอนเซอร์ที่มีจำนวนมากที่สุด อินฟลูเอนเซอร์ที่พูดภาษาอังกฤษได้มีจำนวนมากที่สุดเป็นอันดับสอง

แผนภูมิวงกลมห้ารายการที่อธิบายการแบ่งอินฟลูเอนเซอร์ของรัฐบาลจีนบนสื่อต่างๆ ตามภาษา

รูปภาพที่ 7: การแบ่งอินฟลูเอนเซอร์ของรัฐบาลจีนบนสื่อต่างๆ ตามภาษา เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 9 ในรายงานฉบับเต็ม

จีนกำหนดเป้าหมายผู้ชมทั่วโลก

อินฟลูเอนเซอร์กำหนดเป้าหมายกลุ่มผู้ชมเจ็ดกลุ่ม (การจัดกลุ่มภาษา) ซึ่งแบ่งออกเป็นภูมิภาคทางภูมิศาสตร์ ไม่มีการแสดงแผนภูมิสำหรับกลุ่มผู้ชมที่ใช้ภาษาอังกฤษหรือภาษาจีน

IO ของจีนขยายการเข้าถึงผู้ชมทั่วโลกในหลายแคมเปญ

จีนยังคงขยายขนาด IO ทางออนไลน์เพิ่มเติมในปี 2023 ด้วยการเข้าถึงผู้ชมในภาษาใหม่และบนแพลตฟอร์มใหม่ การดำเนินการเหล่านี้ผสมผสานเครื่องมือแบบเปิดเผยจากสื่อของรัฐบาลซึ่งมีการควบคุมอย่างสูงเข้ากับแอสเซทบนโซเชียลมีเดียแบบซ่อนเร้นหรือปกปิด รวมถึงบอทต่างๆ ซึ่งแปลงสารและขยายความการบอกเล่าเรื่องที่ CCP ชื่นชอบ¹⁷

Microsoft สังเกตพบแคมเปญที่สนับสนุน CCP ดังกล่าวตั้งแต่เดือนมกราคม 2022 มาจนถึงในขณะที่เขียนบทความนี้ โดยมุ่งเป้าโจมตี Safeguard Defenders ซึ่งเป็นองค์การนอกภาครัฐ (NGO) ของสเปน หลังจากที่ได้เปิดเผยถึงการมีตัวตนอยู่ของสถานีตำรวจในต่างประเทศของจีนมากกว่า 50 แห่ง¹⁸ แคมเปญนี้ปรับใช้บัญชีมากกว่า 1,800 รายการบนแพลตฟอร์มโซเชียลมีเดียหลายแห่งและเว็บไซต์อีกหลายสิบแห่งเพื่อเผยแพร่มีม วิดีโอ และข้อความที่สนับสนุน CCP ที่วิพากษ์วิจารณ์สหรัฐอเมริกาและระบอบประชาธิปไตยอื่นๆ

บัญชีเหล่านี้ส่งข้อความด้วยภาษาใหม่ (ดัตช์ กรีก อินโดนีเซีย สวีเดน ตุรกี อุยกูร์ และอื่นๆ) และบนแพลตฟอร์มใหม่ (รวมถึง Fandango, Rotten Tomatoes, Medium, Chess.com และ VK เป็นต้น) แม้ว่าการดำเนินการนี้จะมีขนาดใหญ่และต่อเนื่อง แต่โพสต์เหล่านี้แทบไม่ค่อยได้สร้างการมีส่วนร่วมที่มีความหมายจากผู้ใช้จริง ซึ่งแสดงให้เห็นถึงถึงลักษณะที่ยังไม่สมบูรณ์นักของกิจกรรมจากเครือข่ายของจีนเหล่านี้

โลโก้แบรนด์เทคโนโลยีที่เป็นที่รู้จัก 30 รายการที่นำเสนอร่วมกับรายการภาษา 16 ภาษา

รูปภาพที่ 8: มีการตรวจพบเนื้อหา IO ที่สนับสนุน CCP ในหลายแพลตฟอร์มและในหลายภาษา เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 10 ในรายงานฉบับเต็ม

ตัวอย่างการจับภาพหน้าจอของวิดีโอโฆษณาชวนเชื่อในภาษาไต้หวันที่วางเคียงข้างกัน

รูปภาพที่ 9: การแชร์โพสต์วิดีโอในภาษาไต้หวันจำนวนมากเพื่อเรียกร้องให้รัฐบาลไต้หวัน “ยอมจำนน” ต่อรัฐบาลจีน ความแตกต่างอย่างมากระหว่างจำนวนครั้งที่มีการรับชมและการแชร์แสดงให้เห็นอย่างชัดเจนถึงกิจกรรม IO ที่ทำงานร่วมกัน เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 10 ในรายงานฉบับเต็ม

เครือข่ายเว็บไซต์ข่าวของ CCP ทั่วโลกที่ถูกบดบังไว้

แคมเปญสื่อดิจิทัลอีกรายการหนึ่งที่แสดงให้เห็นถึงการขยายขอบเขตของ IO ที่กำกับดูแลโดย CCP คือเครือข่ายของเว็บไซต์ข่าวสารภาษาจีนหลักมากกว่า 50 แห่งที่สนับสนุนเป้าหมายที่ระบุไว้ของ CCP ในการเป็นกระบอกเสียงที่เชื่อถือได้ของสื่อภาษาจีนทั้งหมดทั่วโลก¹⁹ แม้ว่าจะนำเสนอเป็นเว็บไซต์อิสระและไม่ได้รับการกำกับดูแลโดยหน่วยงานใดเป็นหลักสำหรับชุมชนชาวจีนพลัดถิ่นต่างๆ ทั่วโลก แต่เราประเมินด้วยความมั่นใจอย่างสูงว่าเว็บไซต์เหล่านี้มีความเกี่ยวข้องกับ United Front Work Department (UFWD) ของ CCP ซึ่งเป็นองค์กรที่รับผิดชอบในการเสริมสร้างความแข็งแกร่งให้กับอิทธิพลของ CCP นอกเขตแดนของจีน โดยเฉพาะอย่างยิ่งโดยการติดต่อประสานงานกับ “ชาวจีนโพ้นทะเล” ตามตัวบ่งชี้ทางเทคนิค ข้อมูลการลงทะเบียนเว็บไซต์ และเนื้อหาที่แชร์²⁰

แผนที่โลกที่มีโลโก้เว็บไซต์ของจีนมากกว่า 20 แห่งที่กำหนดเป้าหมายไปยังชาวจีนพลัดถิ่นทั่วโลก

รูปภาพที่ 10: แผนที่ของเว็บไซต์ที่กำหนดเป้าหมายไปยังชาวจีนพลัดถิ่นทั่วโลกที่ได้รับการประเมินว่าเป็นส่วนหนึ่งของกลยุทธ์การใช้สื่อนี้ เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 11 ในรายงานฉบับเต็ม

เนื่องจากเว็บไซต์เหล่านี้จำนวนมากใช้ที่อยู่ IP ร่วมกัน การสืบค้นการแก้ไขโดเมนด้วย Microsoft Defender Threat Intelligence จึงทำให้เราค้นพบเว็บไซต์ในเครือข่ายได้มากขึ้น เว็บไซต์หลายแห่งใช้โค้ด HTML ของเว็บส่วนหน้าร่วมกัน ซึ่งแม้แต่ข้อคิดเห็นของนักพัฒนาเว็บที่ฝังอยู่ในโค้ดก็มักจะมีลักษณะที่เหมือนกันในเว็บไซต์ต่างๆ เว็บไซต์มากกว่า 30 แห่งใช้ประโยชน์จาก Application Programming Interface (API) และระบบการจัดการเนื้อหาเดียวกันจาก “บริษัทในเครือที่ถือหุ้นทั้งหมด” ของ China News Service (CNS) ซึ่งเป็นเอเจนซี่สื่อของ UFWD²¹ บันทึกจากกระทรวงอุตสาหกรรมและเทคโนโลยีสารสนเทศของจีนเผยข้อมูลเพิ่มเติมว่าบริษัทเทคโนโลยีที่กำกับดูแลโดย UFWD และอีกแห่งหนึ่งได้ลงทะเบียนเว็บไซต์ข่าวสารอย่างน้อย 14 แห่งในเครือข่ายนี้²² การใช้บริษัทในเครือและบริษัทสื่อจากภายนอกในลักษณะนี้ช่วยให้ UFWD สามารถเข้าถึงผู้ชมทั่วโลกได้พร้อมทั้งปกปิดการมีส่วนร่วมโดยตรง

เว็บไซต์เหล่านี้อ้างว่าเป็นผู้ให้บริการด้านข่าวสารอิสระ ในขณะเดียวกันก็เผยแพร่บทความจากสื่อของรัฐบาลจีนชุดเดียวกันซ้ำบ่อยครั้ง โดยมักอ้างว่าเป็นแหล่งที่มาดั้งเดิมของเนื้อหาดังกล่าว แม้ว่าเว็บไซต์ต่างๆ จะนำเสนอข่าวต่างประเทศอย่างกว้างๆ และเผยแพร่บทความทั่วไปจากสื่อของรัฐบาลจีน แต่หัวข้อที่มีความอ่อนไหวทางการเมืองกลับสนับสนุนการบอกเล่าเรื่องราวที่ CCP ชื่นชอบอย่างยิ่ง ตัวอย่างเช่น บทความหลายร้อยบทความภายในเครือข่ายเว็บไซต์นี้ส่งเสริมการกล่าวอ้างที่เป็นเท็จว่าไวรัสโควิด-19 เป็นอาวุธชีวภาพที่ผลิตขึ้นในห้องปฏิบัติการวิจัยทางชีววิทยาของกองทัพสหรัฐอเมริกาที่ Fort Detrick²³ เว็บไซต์ต่างๆ มักเผยแพร่แถลงการณ์ของเจ้าหน้าที่รัฐบาลจีนและบทความจากสื่อของรัฐบาลจีนที่กล่าวหาว่าไวรัสโควิด-19 มีต้นกำเนิดในสหรัฐอเมริกาและไม่ใช่ในจีน เว็บไซต์เหล่านี้เป็นตัวอย่างขอบเขตที่การควบคุมของ CCP แทรกซึมเข้าไปในสภาพแวดล้อมของสื่อภาษาจีน ซึ่งช่วยให้พรรคสามารถกลบเกลื่อนการรายงานที่มีการวิพากษ์วิจารณ์ในประเด็นที่มีความละเอียดอ่อนได้

แผนภาพคอร์ดของบทความที่ทับซ้อนกันซึ่งเผยแพร่โดยหลายเว็บไซต์

รูปภาพที่ 11: เว็บไซต์ที่นำเสนอว่ามีลักษณะเฉพาะในพื้นที่ แต่มีเนื้อหาที่เหมือนกัน ไดอะแกรมแบบจุดสัมผัสนี้แสดงบทความที่ทับซ้อนกันซึ่งเผยแพร่โดยหลายเว็บไซต์ เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 12 ในรายงานฉบับเต็ม

สกรีนช็อตของการเผยแพร่บทความของ China News Service อีกครั้งบนเว็บไซต์ที่กำหนดเป้าหมายไปยังผู้ชมในอิตาลี ฮังการี รัสเซีย และกรีซ

รูปภาพที่ 12: China News Service และสื่ออื่นๆ ของรัฐบาลจีนเผยแพร่บทความที่มีชื่อว่า “แถลงการณ์จาก WHO เปิดโปงห้องปฏิบัติการทางชีวภาพลึกลับของสหรัฐอเมริกาในยูเครน” จากนั้นบทความนี้ได้รับการเผยแพร่ในเว็บไซต์ต่างๆ ที่กำหนดเป้าหมายผู้ชมในฮังการี สวีเดน แอฟริกาตะวันตก และกรีซ เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 12 ในรายงานฉบับเต็ม

การเข้าถึงผู้ชมทั่วโลกของสื่อจากรัฐบาลจีน

แม้ว่าแคมเปญที่อธิบายไว้ข้างต้นจะมีลักษณะโดดเด่นในการสร้างความสับสน แต่เว็บไซต์จากสื่อที่ภักดีต่อรัฐบาลจีนก็มีส่วนในการสร้างจำนวนการรับชมสื่อที่กำกับดูแลโดย CCP ทั่วโลกส่วนใหญ่ การขยายไปสู่ภาษาต่างประเทศ²⁴ การเปิดสำนักงานสื่อของรัฐบาลจีนในต่างประเทศ²⁵ และการจัดเตรียมเนื้อหาที่เป็นมิตรสำหรับรัฐบาลจีนฟรี²⁶ ช่วยให้ CCP ขยายการเข้าถึงของ “อำนาจแห่งวาทกรรม” (话语权) โดยการสอดแทรกการโฆษณาชวนเชื่อในสื่อข่าวสารของประเทศต่างๆ ทั่วโลก²⁷

แผนผังองค์กรที่แสดงภาพรวมของระบบนิเวศด้านการโฆษณาชวนเชื่ออย่างเปิดเผยของ CCP

รูปภาพที่ 13: แผนผังองค์กรที่แสดงภาพรวมของบทบาทหน้าที่และหน่วยงานที่เป็นส่วนหนึ่งของระบบนิเวศด้านการโฆษณาชวนเชื่ออย่างเปิดเผยของ CCP เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 13 ในรายงานฉบับเต็ม

การวัดปริมาณการเข้าชมเว็บไซต์สื่อของรัฐบาลจีน

AI for Good Lab ของ Microsoft ได้พัฒนาดัชนีเพื่อวัดปริมาณการเข้าชมจากผู้ใช้นอกประเทศจีนไปยังสื่อมวลชนที่รัฐบาลจีนเป็นเจ้าของส่วนใหญ่ ดัชนีดังกล่าวจะวัดสัดส่วนของการเข้าชมเว็บไซต์เหล่านี้ต่อการเข้าชมโดยรวมบนอินเทอร์เน็ต เช่น Russian Propaganda Index (RPI) ที่เปิดตัวในเดือนมิถุนายน 2022²⁸

โดเมนห้ารายการครองสัดส่วนการบริโภคสื่อจากรัฐบาลจีน โดยคิดเป็นประมาณ 60% ของการเข้าชมหน้าเว็บสื่อของรัฐบาลจีนทั้งหมด

กราฟิกที่แสดงพฤติกรรมการบริโภคสื่อของจีน

เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 14 ในรายงานฉบับเต็ม

ดัชนีดังกล่าวสามารถชี้ให้เห็นถึงแนวโน้มความสำเร็จที่สัมพันธ์กันของสื่อมวลชนของรัฐบาลจีนตามภูมิศาสตร์ในช่วงเวลาหนึ่ง ตัวอย่างเช่น ในบรรดาประเทศสมาชิกของสมาคมประชาชาติแห่งเอเชียตะวันออกเฉียงใต้ (ASEAN) สิงคโปร์และลาวโดดเด่นจากประเทศอื่นอย่างชัดเจน โดยมีการเข้าชมเว็บไซต์สื่อของรัฐบาลจีนที่สัมพันธ์กันมากกว่าบรูไนในอันดับที่สามถึงสองเท่า ฟิลิปปินส์อยู่ในอันดับที่ต่ำที่สุด โดยมีการเข้าชมเว็บไซต์สื่อของรัฐบาลจีนน้อยกว่าสิงคโปร์และลาวถึง 30 เท่า ในสิงคโปร์ซึ่งมีภาษาจีนกลางเป็นภาษาราชการ การบริโภคสื่อของรัฐบาลจีนในปริมาณมากสะท้อนถึงอิทธิพลของจีนต่อข่าวสารภาษาจีนกลาง จำนวนผู้พูดภาษาจีนในลาวมีจำนวนน้อยกว่ามาก ซึ่งสะท้อนถึงความสำเร็จที่สัมพันธ์กันของสื่อของรัฐบาลจีนในสภาพแวดล้อมของประเทศดังกล่าว

สกรีนช็อตหน้าแรกของ PhoenixTV ซึ่งเป็นโดเมนที่มีผู้เข้าชมมากที่สุด

รูปภาพที่ 14: หน้าแรกของ PhoenixTV ซึ่งเป็นโดเมนที่มีผู้เข้าชมมากที่สุด โดยคิดเป็น 32% ของการเข้าชมหน้าเว็บทั้งหมด เรียนรู้เพิ่มเติมเกี่ยวกับรูปภาพนี้ในหน้าที่ 14 ในรายงานฉบับเต็ม

การดำเนินการทางไซเบอร์ของเกาหลีเหนือที่มีความซับซ้อนมากขึ้นเรื่อยๆ จะรวบรวมข้อมูลข่าวกรองและสร้างรายได้ให้กับรัฐบาล

ผู้ดำเนินการภัยคุกคามทางไซเบอร์ของเกาหลีเหนือติดตามการดำเนินการทางไซเบอร์โดยมีจุดมุ่งหมายเพื่อ (1) รวบรวมข้อมูลข่าวกรองเกี่ยวกับกิจกรรมของฝ่ายตรงข้ามที่รัฐมองว่าเป็นศัตรู: เกาหลีใต้ สหรัฐอเมริกา และญี่ปุ่น (2) รวบรวมข้อมูลข่าวกรองเกี่ยวกับความสามารถทางทหารของประเทศอื่นๆ เพื่อปรับปรุงการดำเนินการของตนเอง และ (3) รวบรวมกองทุนสกุลเงินดิจิทัลสำหรับรัฐ ในปีที่ผ่านมา Microsoft สังเกตพบการกำหนดเป้าหมายที่ทับซ้อนกันมากขึ้นระหว่างผู้ดำเนินการภัยคุกคามของเกาหลีเหนือที่แตกต่างกัน และความซับซ้อนของกลุ่มกิจกรรมของเกาหลีเหนือที่เพิ่มขึ้น

เกาหลีเหนือกำหนดลำดับความสำคัญทางไซเบอร์โดยมุ่งเน้นไปที่การวิจัยเทคโนโลยีทางทะเลท่ามกลางช่วงเวลาแห่งการทดสอบโดรนและยานพาหนะใต้น้ำ

ในปีที่ผ่านมา Microsoft Threat Intelligence ได้สังเกตพบการกำหนดเป้าหมายที่ทับซ้อนกันมากขึ้นในกลุ่มผู้ดำเนินการภัยคุกคามของเกาหลีเหนือ ตัวอย่างเช่น ผู้ดำเนินการภัยคุกคามของเกาหลีเหนือ 3 กลุ่ม ได้แก่ Ruby Sleet (CERIUM), Diamond Sleet (ZINC) และ Sapphire Sleet (COPERNICIUM) มุ่งเป้าโจมตีภาคส่วนการเดินเรือและการต่อเรือตั้งแต่เดือนพฤศจิกายน 2022 ถึงมกราคม 2023 ก่อนหน้านี้ Microsoft ไม่เคยสังเกตพบการกำหนดเป้าหมายที่ทับซ้อนกันระดับนี้ในกลุ่มกิจกรรมของเกาหลีเหนือหลายกลุ่ม ซึ่งแสดงให้เห็นว่าการวิจัยเทคโนโลยีทางทะเลมีความสำคัญสูงสำหรับรัฐบาลเกาหลีเหนือในขณะนั้น ในเดือนมีนาคม 2023 มีรายงานว่าเกาหลีเหนือทดสอบยิงขีปนาวุธนำวิถีเชิงยุทธศาสตร์ 2 ลูกจากเรือดำน้ำโดยมุ่งเป้าไปยังทะเลญี่ปุ่น (หรือที่รู้จักกันในชื่อ ทะเลตะวันออก) เพื่อเป็นคำเตือนก่อนการซ้อมรบร่วม Freedom Shield ระหว่างเกาหลีใต้และสหรัฐอเมริกา ต่อมาในเดือนดังกล่าวและเดือนถัดมา มีการกล่าวหาเกาหลีเหนือว่าทดสอบโดรนโจมตีใต้น้ำ Haeil สองลำนอกชายฝั่งตะวันออกของประเทศโดยมุ่งเป้าไปยังทะเลญี่ปุ่น การทดสอบขีดความสามารถทางการทหารเรือเหล่านี้เกิดขึ้นไม่นานหลังจากกลุ่มไซเบอร์ของเกาหลีเหนือ 3 กลุ่มมุ่งเป้าโจมตีหน่วยงานด้านความมั่นคงทางทะเลเพื่อรวบรวมข้อมูลข่าวกรอง

ผู้ดำเนินการภัยคุกคามโจมตีบริษัทด้านกลาโหม เนื่องจากรัฐบาลเกาหลีเหนือกำหนดข้อกำหนดในการเก็บรวบรวมข้อมูลที่มีลำดับความสำคัญสูง

ตั้งแต่เดือนพฤศจิกายน 2022 ถึงมกราคม 2023 ทางด้านของ Microsoft สังเกตพบกรณีที่สองของการกำหนดเป้าหมายที่ทับซ้อนกัน โดย Ruby Sleet และ Diamond Sleet โจมตีบริษัทด้านกลาโหม ผู้ดำเนินการภัยคุกคามทั้งสองรายได้โจมตีบริษัทผลิตอาวุธสองแห่งในเยอรมนีและอิสราเอล ซึ่งชี้ให้เห็นว่ารัฐบาลเกาหลีเหนือกำลังมอบหมายให้กลุ่มผู้ดำเนินการภัยคุกคามหลายกลุ่มดำเนินการตามข้อกำหนดในการรวบรวมข้อมูลที่มีลำดับความสำคัญสูงพร้อมกัน เพื่อปรับปรุงขีดความสามารถทางการทหารของประเทศ ตั้งแต่เดือนมกราคม 2023 เป็นต้นมา Diamond Sleet ยังได้โจมตีบริษัทด้านกลาโหมในบราซิล เช็กเกีย ฟินแลนด์ อิตาลี นอร์เวย์ และโปแลนด์อีกด้วย

แผนภูมิวงกลมที่แสดงอุตสาหกรรมการป้องกันประเทศที่ตกเป็นเป้าหมายในการโจมตีของเกาหลีเหนือมากที่สุดโดยแบ่งตามประเทศ

รูปภาพที่ 15: การมุ่งเป้าโจมตีอุตสาหกรรมการป้องกันประเทศของเกาหลีเหนือแบบแบ่งตามประเทศตั้งแต่เดือนมีนาคม 2022 ถึงเดือนมีนาคม 2023

รัฐบาลรัสเซียและอุตสาหกรรมด้านกลาโหมยังคงเป็นเป้าหมายของเกาหลีเหนือในการดำเนินการรวบรวมข้อมูลข่าวกรอง

เมื่อเร็วๆ นี้ ผู้ดำเนินการภัยคุกคามของเกาหลีเหนือหลายกลุ่มมุ่งเป้าโจมตีรัฐบาลรัสเซียและอุตสาหกรรมด้านกลาโหม พร้อมทั้งให้การสนับสนุนด้านยุทโธปกรณ์แก่รัสเซียในสงครามในยูเครน³² ในเดือนมีนาคม 2023 ทางด้านของ Ruby Sleet ได้โจมตีสถาบันวิจัยด้านการบินและอวกาศในรัสเซีย นอกจากนี้ Onyx Sleet (PLUTONIUM) ยังโจมตีอุปกรณ์ของมหาวิทยาลัยแห่งหนึ่งในรัสเซียเมื่อต้นเดือนมีนาคมอีกด้วย ในอีกเหตุการณ์หนึ่ง บัญชีของผู้โจมตีจาก Opal Sleet (OSMIUM) ส่งอีเมลฟิชชิ่งไปยังบัญชีที่เป็นของหน่วยงานรัฐบาลทางการทูตรัสเซียในช่วงเดือนเดียวกัน ผู้ดำเนินการภัยคุกคามของเกาหลีเหนืออาจใช้ประโยชน์จากโอกาสในการดำเนินการรวบรวมข้อมูลข่าวกรองกับหน่วยงานรัสเซีย เนื่องจากการที่ประเทศยังคงต้องให้ความสำคัญกับสงครามในยูเครน

กลุ่มของเกาหลีเหนือแสดงให้เห็นถึงการดำเนินงานที่ซับซ้อนมากขึ้นผ่านการขโมยสกุลเงินดิจิทัลและการโจมตีห่วงโซ่อุปทาน

Microsoft ประเมินว่ากลุ่มกิจกรรมของเกาหลีเหนือกำลังดำเนินการที่ซับซ้อนมากขึ้นเรื่อยๆ ผ่านการขโมยสกุลเงินดิจิทัลและการโจมตีห่วงโซ่อุปทาน ในเดือนมกราคม 2023 สำนักงานสอบสวนกลางของสหรัฐอเมริกา (FBI) เปิดเผยต่อสาธารณะเกี่ยวกับการขโมยสกุลเงินดิจิทัลจำนวน USD$100 ล้านในเดือนมิถุนายน 2022 จาก Horizon Bridge ของ Harmony ว่าเป็นฝีมือของ Jade Sleet (DEV-0954) หรือที่รู้จักกันในชื่อ Lazarus Group/APT38³³ นอกจากนี้ Microsoft ยังเปิดเผยถึงการโจมตีห่วงโซ่อุปทานของ 3CX ในเดือนมีนาคม 2023 ซึ่งใช้ประโยชน์จากการโจมตีห่วงโซ่อุปทานก่อนหน้านี้ของบริษัทเทคโนโลยีทางการเงินในสหรัฐอเมริกาในปี 2022 ว่าเป็นฝีมือของ Citrine Sleet (DEV-0139) อีกด้วย ซึ่งถือเป็นครั้งแรกที่ Microsoft ได้สังเกตพบกลุ่มกิจกรรมที่ใช้การโจมตีห่วงโซ่อุปทานที่มีอยู่เพื่อดำเนินการโจมตีห่วงโซ่อุปทานอีกครั้ง ซึ่งแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของการดำเนินการทางไซเบอร์ของเกาหลีเหนือ

Emerald Sleet ปรับใช้กลยุทธ์ฟิชชิ่งแบบกำหนดเป้าหมายที่ได้รับการพิสูจน์แล้วว่าได้ผล โดยการล่อลวงให้ผู้เชี่ยวชาญตอบกลับด้วยข้อมูลเชิงลึกด้านนโยบายต่างประเทศ

Emerald Sleet (THALLIUM) ยังคงเป็นผู้ดำเนินการภัยคุกคามของเกาหลีเหนือที่มีความเคลื่อนไหวมากที่สุดที่ Microsoft ติดตามได้ในปีที่ผ่านมา Emerald Sleet ยังคงส่งอีเมลฟิชชิ่งแบบกำหนดเป้าหมายชัดเจนไปยังผู้เชี่ยวชาญเกี่ยวกับคาบสมุทรเกาหลีทั่วโลกอย่างต่อเนื่องเพื่อจุดประสงค์ในการรวบรวมข้อมูลข่าวกรอง ในเดือนธันวาคม 2022 ทางด้านของ Microsoft Threat Intelligence ให้รายละเอียดเกี่ยวกับแคมเปญฟิชชิ่งของ Emerald Sleet ที่มุ่งเป้าโจมตีผู้เชี่ยวชาญด้านเกาหลีเหนือที่มีชื่อเสียงในสหรัฐอเมริกาและประเทศพันธมิตรของสหรัฐอเมริกา แทนที่จะปรับใช้ไฟล์หรือลิงก์ที่เป็นอันตรายไปยังเว็บไซต์ที่เป็นอันตราย Microsoft กลับพบว่า Emerald Sleet ใช้กลยุทธ์ที่ไม่เหมือนใคร โดยการแอบอ้างเป็นสถาบันการศึกษาและ NGO ที่มีชื่อเสียงเพื่อล่อลวงเหยื่อให้ตอบกลับด้วยข้อมูลเชิงลึกและความเห็นจากผู้เชี่ยวชาญเกี่ยวกับนโยบายต่างประเทศที่เกี่ยวข้องกับเกาหลีเหนือ

ความสามารถ: การแทรกแซงด้านข้อมูลข่าวสาร

เกาหลีเหนือดำเนินการแทรกแซงด้านข้อมูลข่าวสารแบบจำกัดบนแพลตฟอร์มโซเชียลมีเดียสำหรับการแชร์วิดีโอ เช่น YouTube และ TikTok ในปีที่ผ่านมา³⁴ อินฟลูเอนเซอร์ชาวเกาหลีเหนือบน YouTube ส่วนใหญ่เป็นเด็กผู้หญิงและผู้หญิงที่มีอายุเริ่มต้นเพียง 11 ปีเท่านั้น ซึ่งโพสต์วล็อกเกี่ยวกับชีวิตประจำวันของตนและส่งเสริมการบอกเล่าเรื่องราวในเชิงบวกเกี่ยวกับรัฐบาลเกาหลีเหนือ อินฟลูเอนเซอร์บางส่วนพูดภาษาอังกฤษในวิดีโอของตน โดยมุ่งหมายที่จะเข้าถึงผู้ชมทั่วโลกในวงกว้างขึ้น อินฟลูเอนเซอร์ของเกาหลีเหนือมีประสิทธิภาพน้อยกว่าโครงการริเริ่มด้านอินฟลูเอนเซอร์ที่ได้รับการสนับสนุนจากสื่อของรัฐบาลจีน

การมองไปข้างหน้าในขณะที่ความตึงเครียดทางภูมิรัฐศาสตร์ก่อให้เกิดกิจกรรมทางไซเบอร์และการดำเนินการแทรกแซงด้านข้อมูลข่าวสาร

จีนยังคงขยายขีดความสามารถทางไซเบอร์อย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา และแสดงให้เห็นถึงความทะเยอทะยานที่มากขึ้นในแคมเปญ IO ในระยะเวลาอันใกล้นี้ เกาหลีเหนือจะยังคงมุ่งเป้าโจมตีเป้าหมายที่เกี่ยวข้องกับผลประโยชน์ทางการเมือง เศรษฐกิจ และกลาโหมในภูมิภาค เราคาดหวังได้ว่าจะมีการจารกรรมทางไซเบอร์ในวงกว้างต่อทั้งฝ่ายตรงข้ามและผู้สนับสนุนวัตถุประสงค์ทางภูมิรัฐศาสตร์ของ CCP ในทุกทวีป แม้ว่ากลุ่มภัยคุกคามที่อยู่ในจีนจะยังคงพัฒนาและใช้ความสามารถทางไซเบอร์ได้อย่างน่าทึ่ง แต่เราไม่ได้สังเกตพบว่าจีนรวมการดำเนินการทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารเข้าด้วยกัน ซึ่งมีส่วนร่วมในแคมเปญการแฮ็กและเผยแพร่ข้อมูลสู่สาธารณะ ซึ่งแตกต่างจากอิหร่านและรัสเซีย

ผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่สนับสนุนจีนที่ดำเนินงานในระดับที่ไม่มีผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่มุ่งร้ายรายอื่นๆ เทียบได้ พร้อมที่จะใช้ประโยชน์จากแนวโน้มและเหตุการณ์สำคัญหลายประการที่จะเกิดขึ้นในช่วงหกเดือนข้างหน้า

ประการแรก การดำเนินการที่ใช้สื่อวิดีโอและภาพกลายเป็นเรื่องปกติไปแล้ว เครือข่ายที่กำกับดูแลโดย CCP ใช้รูปโปรไฟล์ที่สร้างขึ้นโดย AI มาเป็นเวลานาน และในปีนี้ได้เริ่มนำงานศิลปะที่สร้างขึ้นโดย AI ไปใช้สำหรับภาพมีม ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐบาลจะยังคงใช้ประโยชน์จากสตูดิโอเนื้อหาส่วนตัวและบริษัทประชาสัมพันธ์เพื่อจ้างบุคคลภายนอกในการโฆษณาชวนเชื่อตามความต้องการ³⁵

ประการที่สอง จีนจะยังคงแสวงหาการมีส่วนร่วมของผู้ชมจริงต่อไป โดยทุ่มเทเวลาและทรัพยากรไปกับแอสเซทบนโซเชียลมีเดียที่ได้รับการปลูกฝัง อินฟลูเอนเซอร์ที่มีความรู้เชิงลึกด้านวัฒนธรรมและภาษา รวมถึงเนื้อหาแบบวิดีโอคุณภาพสูงยังคงเป็นผู้บุกเบิกด้านการมีส่วนร่วมบนโซเชียลมีเดียที่ประสบความสำเร็จเสมอมา CCP จะนำกลยุทธ์บางส่วนเหล่านี้มาใช้ รวมถึงการโต้ตอบกับผู้ใช้โซเชียลมีเดียและการนำเสนอองค์ความรู้ทางวัฒนธรรม เพื่อสนับสนุนแคมเปญโซเชียลมีเดียที่ซ่อนเร้นอยู่

ประการที่สาม ไต้หวันและสหรัฐอเมริกามีแนวโน้มที่จะยังคงเป็นเป้าหมายสำคัญสองอันดับแรกสำหรับ IO ของจีน โดยเฉพาะอย่างยิ่งกับการเลือกตั้งที่กำลังจะเกิดขึ้นในทั้งสองประเทศในปี 2024 เนื่องจากผู้ดำเนินการแทรกแทรงด้านข้อมูลข่าวสารที่สนับสนุน CCP ได้มุ่งเป้าโจมตีการเลือกตั้งของสหรัฐอเมริกาในอดีตที่ผ่านมา จึงค่อนข้างแน่ใจได้ว่าพวกเขาจะดำเนินการเช่นนั้นอีกครั้ง แอสเซทบนโซเชียลมีเดียที่แอบอ้างเป็นผู้มีสิทธิเลือกตั้งในสหรัฐอเมริกา มีแนวโน้มที่จะแสดงให้เห็นถึงความซับซ้อนในระดับที่สูงกว่า โดยบ่มเพาะความไม่ลงรอยกันอย่างแข็งขันตามแนวทางด้านเชื้อชาติ เศรษฐกิจสังคม และอุดมการณ์ด้วยเนื้อหาที่วิพากษ์วิจารณ์สหรัฐอเมริกาอย่างดุเดือด

[1]

https://go.microsoft.com/fwlink/?linkid=2262252; https://go.microsoft.com/fwlink/?linkid=2262167; https://go.microsoft.com/fwlink/?linkid=2262253
[2]

ฐานทัพใหม่ในฟิลิปปินส์เพิ่มอิทธิพลทางการทหารของสหรัฐอเมริกาในภูมิภาค https://go.microsoft.com/fwlink/?linkid=2262254
[3]

ปัจจุบันยังไม่มีหลักฐานเพียงพอที่จะเชื่อมโยงกลุ่มต่างๆ เข้าด้วยกัน
[4]

https://go.microsoft.com/fwlink/?linkid=2262169
[5]

https://go.microsoft.com/fwlink/?linkid=2262310
[6]

CVE-2022-27518; https://go.microsoft.com/fwlink/?linkid=2262090

https://go.microsoft.com/fwlink/?linkid=2262255
[7]

https://go.microsoft.com/fwlink/?linkid=2262310
[8]

https://go.microsoft.com/fwlink/?linkid=2262256
[9]

https://go.microsoft.com/fwlink/?linkid=2262256
[10]

https://go.microsoft.com/fwlink/?linkid=2262357
[11]

https://go.microsoft.com/fwlink/?linkid=2262517 ; https://go.microsoft.com/fwlink/?linkid=2262091 ; https://go.microsoft.com/fwlink/?linkid=2262518
[12]

https://go.microsoft.com/fwlink/?linkid=2262358
[13]

https://go.microsoft.com/fwlink/?linkid=2262519
[14]

https://go.microsoft.com/fwlink/?linkid=2262435
[15]

https://go.microsoft.com/fwlink/?linkid=2262436
[16]

https://go.microsoft.com/fwlink/?linkid=2262092; https://go.microsoft.com/fwlink/?linkid=2262093; สถิติเหล่านี้สะท้อนถึงข้อมูล ณ เดือนเมษายน 2023
[17]

https://go.microsoft.com/fwlink/?linkid=2262359; https://go.microsoft.com/fwlink/?linkid=2262520; ผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารดังกล่าวบางครั้งเรียกว่า “Spamouflage Dragon” หรือ “DRAGONBRIDGE”
[18]

https://go.microsoft.com/fwlink/?linkid=2262094; https://go.microsoft.com/fwlink/?linkid=2262521
[19]

https://go.microsoft.com/fwlink/?linkid=2262360
[20]

โปรดดู: เฟรมเวิร์กของ Microsoft Threat Analysis Center สำหรับการระบุแหล่งที่มาของการแทรกแซงด้านข้อมูลข่าวสาร https://go.microsoft.com/fwlink/?linkid=2262095; ชาวจีนพลัดถิ่นมักเรียกกันว่า “ชาวจีนโพ้นทะเล” หรือ 华侨 (huaqiao) โดยรัฐบาลจีน ซึ่งหมายถึงบุคคลที่มีสัญชาติหรือเชื้อสายจีนที่อาศัยอยู่นอกสาธารณรัฐประชาชนจีน หากต้องการรายละเอียดเพิ่มเติมเกี่ยวกับการตีความลักษณะชาวจีนพลัดถิ่นของรัฐบาลจีน โปรดดู: https://go.microsoft.com/fwlink/?linkid=2262777
[21]

https://go.microsoft.com/fwlink/?linkid=2262257
[22]

https://go.microsoft.com/fwlink/?linkid=2262258
[23]

รัฐบาลจีนได้ปลูกฝังการบอกเล่าเรื่องราวนี้ในช่วงเริ่มต้นของการระบาดใหญ่ของโควิด-19 โปรดดู: https://go.microsoft.com/fwlink/?linkid=2262170; เว็บไซต์ภายในเครือข่ายนี้ที่ส่งเสริมการกล่าวอ้างนี้ ได้แก่: https://go.microsoft.com/fwlink/?linkid=2262438; https://go.microsoft.com/fwlink/?linkid=2262259; https://go.microsoft.com/fwlink/?linkid=2262439
[24]

https://go.microsoft.com/fwlink/?linkid=2262097
[25]

https://go.microsoft.com/fwlink/?linkid=2262440
[26]

https://go.microsoft.com/fwlink/?linkid=2262171
[27]

https://go.microsoft.com/fwlink/?linkid=2262172
[28]

การปกป้องยูเครน: บทเรียนเบื้องต้นจากสงครามไซเบอร์ https://go.microsoft.com/fwlink/?linkid=2262441
[29]

https://go.microsoft.com/fwlink/?linkid=2262260
[30]

การตีความอีกประการหนึ่งของ Xuexi Qiangguo คือ “การศึกษา Xi เพื่อเสริมสร้างความแข็งแกร่งของประเทศ” โดยชื่อนี้เป็นการเล่นคำจากนามสกุลของ Xi Jinping รัฐบาล มหาวิทยาลัย และธุรกิจในจีนส่งเสริมการใช้แอปดังกล่าวอย่างจริงจัง โดยในบางครั้งก็มีการประจานหรือลงโทษผู้ใต้บังคับบัญชาที่ไม่ได้ใช้แอปดังกล่าวบ่อยนัก โปรดดู: https://go.microsoft.com/fwlink/?linkid=2262362
[31]

หนังสือพิมพ์ฉบับนี้เป็นของ Shanghai United Media Group ซึ่งมีคณะกรรมการพรรคคอมมิวนิสต์จีนประจำนครเซี่ยงไฮ้เป็นเจ้าของ: https://go.microsoft.com/fwlink/?linkid=2262098
[32]

https://go.microsoft.com/fwlink/?linkid=2262518
[33]

https://go.microsoft.com/fwlink/?linkid=2262363
[34]

https://go.microsoft.com/fwlink/?linkid=2262173; https://go.microsoft.com/fwlink/?linkid=2262600
[35]

ก่อนหน้านี้ CCP เคยลงทุนในบริษัทภาคเอกชนที่ส่งเสริมแคมเปญ IO ผ่านเทคนิคการปั่น SEO, การกดไลก์และผู้ติดตามปลอม และบริการอื่นๆ เอกสารการจัดซื้อจัดจ้างเปิดเผยการเสนอราคาดังกล่าว โปรดดู: https://go.microsoft.com/fwlink/?linkid=2262522

การดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ รายงานของรัฐชาติในเอเชียตะวันออก รายงานของรัฐชาติ ฟิชชิ่ง ผู้ดำเนินการภัยคุกคาม