相同目標，但採用新劇本：東亞威脅行為者採用的獨特方法

Gingham Typhoon 以南太平洋島嶼的政府、IT 和跨國單位為目標

2023 年夏天，Microsoft 威脅情報觀察到中國間諜組織 Gingham Typhoon 的廣泛活動，幾乎針對每個南太平洋島嶼國家/地區。Gingham Typhoon 是這個地區最活躍的行為者，透過複雜的網路釣魚活動攻擊國際組織、政府單位和 IT 部門。受害者還包括對中國政府直言不諱的批評者。

最近有些中國外交盟友成為 Gingham Typhoon 活動的受害者，包括政府行政辦公室、貿易相關部門、網際網路服務提供者以及交通運輸機構。

該地區的地緣政治和外交競爭加劇可能是這些進攻性網路活動的動機。中國尋求與南太平洋島國建立戰略夥伴關係，以擴大經濟聯繫 並促成外交和安全協議。中國在這個地區的網路間諜活動也跟隨著經濟夥伴策略。

例如，中國行為者大規模針對巴布亞紐幾內亞的跨國組織，巴布亞紐幾內亞是長期的外交夥伴，正受益於多個「一帶一路」倡議 (BRI) 專案，包括建構一條連接巴布亞紐幾內亞政府大樓和首都/首要城市重要道路的主要高速公路。¹

在西方軍事演習中，中國威脅行為者保持關注南海

以中國為基地的威脅行為者，繼續針對與中國在南海及周邊地區的經濟和軍事利益相關單位為目標。這些行為者投機取巧地入侵了東南亞國協 (東盟) 的政府和電信受害者。中國政府附屬網路行為者，似乎對於美國在該地區進行的眾多軍事演習有關的目標特別感興趣。2023 年 6 月，總部設在中國的國家/地區級活動組織 Raspberry Typhoon，在印尼、中國和美國罕見的多邊海軍演習前的幾周裡，成功地瞄準了印尼的軍事和行政單位以及馬來西亞的海上系統。

同樣地，與美菲軍事演習有關的單位也成為另一個中國網路行為者 Flax Typhoon 的攻擊目標。與此同時，Granite Typhoon 是另一個中國威脅行為者，主要是入侵了該地區的電信單位，受害者遍及印尼、馬來西亞、菲律賓、柬埔寨和臺灣。

Microsoft 發表關於 Flax Typhoon的部落格以來，Microsoft 在 2023 年初秋和冬季期間，在菲律賓、香港、印度和美國觀察到了 Flax Typhoon 的新目標。² 這個行為者還經常攻擊電信部門，經常導致許多下游受到影響。

2023年，北韓網路威脅行為者竊取了數億美元的加密貨幣，攻擊軟體供應鏈，並以他們認為的國家安全對手為目標。他們的行動為北韓政府創造收入 (尤其是其武器計畫)，並收集關於美國、韓國和日本的情報。¹⁶

北韓網路行為者掠奪了破紀錄數量的加密貨幣，為國家創造收入。

聯合國估計，自 2017 年以來，北韓網路行為者已經竊取了超過 30 億美元的加密貨幣。¹⁷ 僅在 2023 年，就發生了總金額在 6 億美元至 10 億美元之間的搶劫案。據報導，這些被盜的金額為該國一半以上的核子計畫和導彈計畫提供了資金，使北韓得以在制裁下進行武器擴張和試驗。¹⁸ 北韓在過去一年中進行了多次導彈試驗和軍事演習，甚至在 2023 年 11 月 21 日成功將一枚軍事偵察衛星送入太空。¹⁹

自 2023 年 6 月以來，Microsoft 追蹤的三個威脅行為者 Jade Sleet、Sapphire Sleet 和 Citrine Sleet，他們以加密貨幣為關注目標。Jade Sleet 進行大型加密貨幣搶劫，而 Sapphire Sleet 進行規模較小但更頻繁的加密貨幣盜竊行動。Microsoft 將 2023 年 6 月初一起至少 3,500 萬美元的盜竊案歸責於 Jade Sleet，受害者是一家總部位於愛沙尼亞的加密貨幣公司。一個月後，Microsoft 再將新加坡加密貨幣平台超過 1.25 億美元的搶劫案歸責於 Jade Sleet。Jade Sleet 於 2023 年 8 月開始入侵線上加密貨幣賭場。

Sapphire Sleet 持續入侵眾多員工的單位，包括加密貨幣、風險投資和其他金融機構的高階主管和開發人員。Sapphire Sleet 還開發了新技術，例如發送包含攻擊者網域連結的偽虛擬會議邀請和虛假求職網站的註冊連結。繼 2023 年 3 月的 3CX 供應鏈攻擊之後，Citrine Sleet 入侵了一家位於土耳其加密貨幣和數位資產公司的下游夥伴。受害者託管了與供應鏈入侵相關的 3CX 應用程式，但卻是易受攻擊版本。

北韓網路行為者透過魚叉式網路釣魚和軟體供應鏈攻擊，讓 IT 部門受到威脅

北韓威脅行為者還對 IT 公司進行了軟體供應鏈攻擊，藉此接觸了下游客戶。Jade Sleet 在針對加密貨幣和技術組織的員工進行社交工程魚叉式網路釣魚的活動中，使用了 GitHub 存放庫和已武裝的 NPM 封裝。²⁰ 攻擊者冒充開發人員或招聘人員，邀請目標在 GitHub 存效庫上進行共同作業，並說服他們複製並執行其中包含惡意 NPM 封裝的內容。Diamond Sleet 於 2023 年 8 月對一家德國 IT 公司進行了供應鏈入侵，並於 2023 年 11 月透過一家臺灣 IT 公司已武裝的應用程式針對供應鏈進行攻擊。Diamond Sleet 和 Onyx Sleet 同時於 2023 年 10 月利用了 TeamCity CVE-2023- 42793 弱點，攻擊者可利用該弱點執行遠端代碼攻擊並獲取伺服器的管理控制權。Diamond Sleet 使用這種技術入侵了美國和歐洲國家 (包括英國、丹麥、愛爾蘭和德國) 各個行業的數百起受害者。Onyx Sleet 利用同樣的弱點入侵了至少 10 名受害者，包括澳大利亞的一家軟體供應商和挪威的一家政府機構，並使用入侵後的工具來執行額外的承載。

北韓的網路行為者以美國、韓國和他們盟國為目標

北韓威脅行為者繼續以他們認為的國家安全對手為目標。這種網路活動證實了北韓對抗美國、韓國和日本三邊聯盟的地緣政治目標。三國領導人在 2023 年 8 月的大衛營高峰會上鞏固了這個夥伴關係。²¹ Ruby Sleet 和 Onyx Sleet 持續以美國和韓國的航空航太和國防組織為目標。Emerald Sleet 持續針對政府、智庫/非政府組織、媒體和教育領域的外交官和朝鮮半島專家進行偵察和魚叉式網路釣魚活動攻擊。2023 年 6 月，Pearl Sleet 繼續針對接觸脫北者的韓國單位和專注北韓人權問題的活動人士展開行動。Microsoft 評估結果，這些活動背後的動機是收集情報。

北韓行為者在合法軟體中植入後門

北韓威脅行為者還利用合法軟體的後門，以及利用現有軟體中的弱點。在 2023 年上半年，Diamond Sleet 經常使用已武裝的 VNC 惡意軟體來入侵受害者。Diamond Sleet 還在 2023 年 7 月繼續使用已武裝的 PDF 閱讀器惡意軟體，Microsoft 威脅情報在 2022 年 9 月的一篇部落格文章中已分析了這些技術。²²  Ruby Sleet 還可能在 2023 年 12 月使用了韓國電子文件程式的後門安裝程式。

北韓利用 AI 工具進行惡意網路活動

北韓威脅行為者正在適應 AI 時代。他們正學習使用由 AI 大型語言模型 (LLM) 提供支援的工具，以提高他們的行動效率和效果。例如，Microsoft 和 OpenAI 觀察到 Emerald Sleet 利用 LLM 來增強針對朝鮮半島專家的魚叉式網路釣魚活動。²³  Emerald Sleet 使用 LLM 研究弱點，並對針對專注北韓的組織和專家進行偵察。Emerald Sleet 還使用 LLM 對技術問題進行疑難排解、執行基本的指令碼工作以及為魚叉式網路釣魚訊息起草內容。Microsoft 與 OpenAI 合作，停用與 Emerald Sleet 相關的帳戶和資產。