Trace Id is missing

Samme mål, nye strategiplaner: Trusselsaktører fra det østlige Asien bruger unikke metoder

Download
Del
Abstrakt illustration af et flådeskib med grafiske røde cirkler og sorte mesh-elementer på en pink baggrund.

Microsoft har observeret flere bemærkelsesværdige cyber- og påvirkningstendenser fra Kina og Nordkorea siden juni 2023, som ikke kun viser en fordobling af velkendte mål, men også forsøg på at bruge mere sofistikerede påvirkningsteknikker til at nå deres mål.

Kinesiske cyberaktører har i store træk udvalgt tre målområder i løbet af de sidste syv måneder:

  • Et sæt kinesiske aktører gik målrettet efter enheder på tværs af de sydlige Stillehavsøer.
  • Et andet sæt kinesiske aktiviteter fortsatte en række cyberangreb mod regionale modstandere i området omkring det Sydkinesiske Hav.
  • I mellemtiden kompromitterede et tredje sæt kinesiske aktører den amerikanske forsvarsindustrielle base.

I stedet for at udvide den geografiske rækkevidde af deres mål, finpudsede de kinesiske påvirkningsaktører deres teknikker og eksperimenterede med nye medier. Kinesiske påvirkningskampagner fortsatte med at forfine indhold, der er genereret eller ændret af kunstig intelligens. Påvirkningsaktører bag disse kampagner har vist viljen til både at forstærke medier, der er genereret af kunstig intelligens og som gavner deres strategiske fortællinger, og til at skabe deres eget video-, memes- og lydindhold. Sådanne taktikker er blevet brugt i kampagner, der har skabt splittelse i USA og forværret kløfterne i Asien og Stillehavsområdet – herunder Taiwan, Japan og Sydkorea. Disse kampagner opnåede forskellige niveauer af resonans uden nogen entydig formel, der skabte konsekvent publikumsengagement.

Nordkoreanske cyberaktører skabte overskrifter med stigende angreb på softwareforsyningskæder og kryptovaluta-kup i løbet af det seneste år. Mens strategiske spydphishing-kampagner rettet mod forskere, der forsker på den koreanske halvø, forblev en konstant tendens, så nordkoreanske trusselsaktører ud til at gøre større brug af legitim software for at kompromittere endnu flere ofre.

Gingham Typhoon målretter mod regeringer, IT og multinationale virksomheder på de sydlige Stillehavsøer

I løbet af sommeren 2023 observerede Microsoft Threat Intelligence omfattende aktivitet fra den Kina-baserede spionagegruppe Gingham Typhoon, som var rettet mod næsten alle lande i det sydlige Stillehav. Gingham Typhoon er den mest aktive aktør i denne region og rammer internationale organisationer, offentlige enheder og IT-sektoren med komplekse phishing-kampagner. Ofrene omfattede også skarpe kritikere af den kinesiske regering.

Kinas diplomatiske allierede, som blev ofre for den seneste Gingham Typhoon-aktivitet, omfatter regeringskontorer, handelsrelaterede afdelinger, internetudbydere samt en transportvirksomhed.

Øget geopolitisk og diplomatisk konkurrence i regionen kan være motivationen for disse offensive cyberaktiviteter. Kina forfølger strategiske partnerskaber med ø-nationer i det sydlige Stillehav for at udvide de økonomiske bånd og mægle diplomatiske og sikkerhedsmæssige aftaler. Kinesisk cyberspionage i denne region følger også økonomiske partnere.

For eksempel har kinesiske aktører i stort omfang angrebet multinationale organisationer i Papua Ny Guinea, en mangeårig diplomatisk partner, der drager fordel af flere projekter under One Belt, One Road, herunder byggeriet af en stor motorvej, der forbinder en regeringsbygning i Papua Ny Guinea med hovedstadens hovedvej.1

Kort, der illustrerer hyppigheden af målrettede cybertrusler i ø-nationer i Stillehavet, med større cirkler
Figur 1: Observerede hændelser fra Gingham Typhoon fra juni 2023 til januar 2024. Denne aktivitet understreger deres fortsatte fokus på ø-nationer i det sydlige Stillehav. En stor del af denne målretning har dog været løbende, hvilket afspejler et årelangt fokus på regionen. Geografiske placeringer og diameter af symboler er repræsentative.

Kinesiske trusselsaktører fastholder fokus på det Sydkinesiske Hav midt i vestlige militærøvelser

Trusselsaktører fra Kina fortsatte med at angribe enheder, der er relateret til Kinas økonomiske og militære interesser i og omkring det Sydkinesiske Hav. Disse aktører kompromitterede på opportunistisk vis regerings- og telekommunikationsofre i Sammenslutningen af Sydøstasiatiske Nationer (ASEAN). Kinesiske statstilknyttede cyberaktører virkede særligt interesserede i mål relateret til de mange amerikanske militærøvelser i regionen. I juni 2023 gik Raspberry Typhoon, en nation-stats-aktivitetsgruppe med base i Kina, målrettet efter militære og udøvende enheder i Indonesien og et malaysisk maritimt system i ugerne op til en sjælden multilateral flådeøvelse, der involverede Indonesien, Kina og USA.

På samme måde blev enheder relateret til militærøvelser mellem USA og Filippinerne angrebet af en anden kinesisk cyberaktør, Flax Typhoon. I mellemtiden kompromitterede Granite Typhoon, endnu en trusselsaktør fra Kina, primært enheder inden for telekommunikation i regionen i denne periode, med ofre i Indonesien, Malaysia, Filippinerne, Cambodja og Taiwan.

Siden offentliggørelsen af Microsofts blog om Flax Typhoon har Microsoft i det tidlige efterår og vinteren 2023 observeret nye Flax Typhoon-mål i Filippinerne, Hong Kong, Indien og USA.2 Denne aktør angriber også ofte telekommunikationssektoren, hvilket ofte fører til mange downstream-effekter.

Kort, der viser Microsoft Threat Intelligence-data for de områder i Asien, der er målrettet mest mod,
Figur 2: Observerede hændelser rettet mod lande i eller omkring Det Sydkinesiske Hav, udført Flax Typhoon, Granite Typhoon eller Raspberry Typhoon. De geografiske placeringer og symbologiens diameter er repræsentative.

Nylon Typhoon kompromitterer udenrigsenheder verden over

Trusselsaktøren Nylon Typhoon, der er baseret i Kina, har fortsat sin mangeårige praksis med at angribe udenrigsenheder i lande over hele verden. Mellem juni og december 2023 observerede Microsoft Nylon Typhoon hos regeringsenheder i Sydamerika, herunder i Brasilien, Guatemala, Costa Rica og Peru. Trusselsaktøren blev også observeret i Europa og kompromitterede regeringsenheder i Portugal, Frankrig, Spanien, Italien og Storbritannien. Mens de fleste af de europæiske mål var offentlige enheder, blev nogle IT-virksomheder også kompromitteret. Formålet med denne målretning er indsamling af efterretninger.

Kinesisk trusselsgruppe går efter militære enheder og kritisk infrastruktur i USA

Endelig steg aktiviteten i Storm-0062 kraftigt i løbet af efteråret og vinteren 2023. En stor del af denne aktivitet kompromitterede amerikanske forsvarsrelaterede regeringsenheder, herunder entreprenører, der leverer tekniske ingeniørtjenester omkring rumfart, forsvar og naturressourcer, der er kritiske for USA's nationale sikkerhed. Derudover gik Storm-0062 gentagne gange efter militære enheder i USA, men det er uklart, om gruppen havde held med sine forsøg på kompromittering.

Den amerikanske forsvarsindustri er også fortsat et mål for Volt Typhoon. I maj 2023 tilskrev Microsoft angreb på amerikanske kritiske organisationer inden for infrastruktur til Volt Typhoon, en statssponsoreret aktør med base i Kina. Volt Typhoon skaffede sig adgang til organisationers netværk ved hjælp af "living-off-the-land"-teknikker og hands-on-keyboard-aktivitet.3 Disse taktikker gjorde det muligt for Volt Typhoon uopdaget at opretholde uautoriseret adgang til målnetværk. Fra juni til december 2023 fortsatte Volt Typhoon med at angribe kritisk infrastruktur, men fortsatte også med at udvikle ressourcer ved at kompromittere små kontor- og hjemmekontorenheder (SOHO) i hele USA.

I vores rapport fra september 2023 beskrev vi, hvordan kinesiske påvirkningsoperationer (IO) var begyndt at bruge generativ AI til at skabe elegant og engagerende visuelt indhold. I løbet af sommeren fortsatte Microsoft Threat Intelligence med at identificere memes, genereret af kunstig intelligens, der var rettet mod USA, som forstærkede kontroversielle indenrigspolitiske emner og kritiserede den nuværende regering. IO-aktører med forbindelse til Kina har fortsat med at bruge medier, der er genereret og forbedret af kunstig intelligens (herefter "AI-indhold" ) i påvirkningskampagner i stigende mængder og med en stigende hyppighed i løbet af året.

Kunstig intelligens stiger (men formår ikke at påvirke)

Den mest produktive af disse aktører, der bruger AI-indhold, er Storm-1376 - Microsofts betegnelse for den aktør, der er knyttet til det kinesiske kommunistparti (CCP), og som almindeligvis er kendt som "Spamouflage" eller "Dragonbridge". I løbet af vinteren begyndte andre CCP-relaterede aktører at bruge et bredere udvalg af AI-indhold til at forstærke online IO. Dette inkluderede en markant stigning i indhold med taiwanske politiske figurer forud for præsident- og parlamentsvalget den 13. januar. Det er første gang, at Microsoft Threat Intelligence har set en nation-stats-aktør bruge AI-indhold i forsøg på at påvirke et udenlandsk valg.

Lyd genereret af kunstig intelligens: På Taiwans valgdag postede Storm-1376 formodede lydklip genereret af kunstig intelligens af Foxconn-ejer Terry Gou, som var uafhængig partikandidat i Taiwans præsidentvalg, som trak sig ud af konkurrencen i november 2023. Lydoptagelserne portrætterede Gous stemme, der støttede en anden kandidat i præsidentvalgkampen. Gous stemme i optagelserne er sandsynligvis genereret af kunstig intelligens, da Gou ikke er kommet med en sådan udtalelse. YouTube reagerede hurtigt på dette indhold, før det nåede ud til et stort antal brugere. Disse videoer fulgte få dage efter, at et falsk brev fra Terry Gou, der støttede den samme kandidat, havde cirkuleret online. Taiwans førende faktatjekorganisationer afkræftede brevet. Gous kampagne erklærede også, at brevet ikke var ægte, og at de ville tage retslige skridt som svar.4 Gou støttede ikke formelt nogen af præsidentkandidaterne i valget.
Em mand iført et jakkesæt taler på et podium med kinesisk tekst og en grafik af en lyd i bølgeform i forgrunden.
Figur 3: Videoer udgivet af Storm-1376 brugte stemmeoptagelser af Terry Gou oprettet med kunstig intelligens til at få ham til at se ud som om, at han anbefalede en anden kandidat.
Nyhedsværter genereret af kunstig intelligens: Nyhedsværter, der er genereret af kunstig intelligens bliver genereret af tredjeparts teknologivirksomheder, der brugte den kinesiske teknologivirksomhed ByteDance's Capcut-værktøj optrådte i en række kampagner med taiwanske embedsmænd,5 samt i meddelelser om Myanmar. Storm-1376 har siden februar 2023 gjort brug af sådanne nyhedsværter, der er genereret af kunstig intelligens6 men mængden af indhold med disse nyhedsværter er steget i de seneste måneder.
En collage af et militærkøretøj
Figur 4: Storm-1376 slog videoer op på mandarin og engelsk, der påstod, at USA og Indien var ansvarlige for uro i Myanmar. Det samme AI-genererede anker bruges i nogle af disse videoer.
Videoer, der er forbedret med kunstig intelligens: Som afsløret af Canadas regering og andre forskere, brugte videoer, der var ændret med kunstig intelligens billedet af en Canada-baseret kinesisk dissident i en kampagne rettet mod canadiske parlamentsmedlemmer.7 Disse videoer, som blot var en del af en kampagne på flere platforme, der omfattede chikane af canadiske politikere på deres konti på de sociale medier, viste fejlagtigt dissidenten komme med provokerende bemærkninger om Canadas regering. Lignende videoer, der var ændret med kunstig intelligens er tidligere blevet brugt mod denne dissident.
En person, der sidder ved et skrivebord
Figur 5: AI-aktiverede deepfake-videoer af systemkritikeren, der taler på en nedsættende måde om religion. Ved brug af lignende taktikker som Canada-kampagnen, vises disse videoer uden at være relateret til indhold.
Memes genereret af kunstig intelligens: Storm-1376 fremhævede i december en række memes, der var genereret af kunstig intelligens af Taiwans daværende demokratiske progressive partis (DPP) præsidentkandidat William Lai med et nedtællingstema, der noterede "X dage" til at fjerne DPP fra magten.
Grafisk repræsentation med to billeder side om side. Det ene viser en figur med et rødt x, og det andet samme figur umarkeret,
Figur 6: AI-genererede memes, der beskylder præsidentkandidaten fra DPP, William Lai, for at snyde med midler fra Taiwans fremadskuende udviklingsprogram for infrastruktur. Disse memes viste forenklede karakterer (som bruges i PRC men ikke i Taiwan), og var en del af en serie, der viste en daglig "nedtælling til at tage magten fra DPP".
Infografik for tidslinje, der viser betydningen af AI-genereret indhold for valg i Taiwan fra december 2023 til januar 2024.
Figur 7: En tidslinje af AI-genereret og AI-forbedret indhold, der vises i opløbet til Taiwans præsident- og parlamentsvalg i januar 2024. Storm-1376 forstærkede flere af disse stykker indhold og var ansvarlig for at oprette indhold i to kampagner.

Storm-1376 fortsætter med at sende reaktive beskeder, nogle gange med konspiratoriske fortællinger

Storm-1376 - en aktør, hvis påvirkningsoperationer spænder over 175 websteder og 58 sprog – har fortsat med ofte at lave reaktive meddelelseskampagner omkring højt profilerede geopolitiske begivenheder, især dem, der fremstiller USA i et ugunstigt lys eller fremmer CCP's interesse i APAC-regionen. Siden vores sidste rapport i september 2023 har disse kampagner udviklet sig på flere vigtige måder, herunder inkorporering af fotos, der er genereret af kunstig intelligens for at vildlede publikum, fremme konspiratorisk indhold især mod den amerikanske regering – og målretning mod nye befolkninger, såsom Sydkorea, med lokaliseret indhold.

1. Påstand om, at en amerikansk regerings "vejrvåben" startede skovbrandene på Hawaii

I august 2023, da skovbrande rasede på nordvestkysten af Maui, Hawaii, greb Storm-1376 chancen for at sprede konspiratoriske fortællinger på flere sociale medieplatforme. Disse indlæg hævdede, at den amerikanske regering bevidst havde påsat brandene for at teste et militært "vejrvåben". Ud over at lægge teksten ud på mindst 31 sprog på dusinvis af websteder og platforme, brugte Storm-1376 billeder genereret af kunstig intelligens af brændende kystveje og boliger for at gøre indholdet mere iøjnefaldende.8

Et sammensat billede med et "falsk"-stempel over scener af dramatiske brande.
Figur 8: Storm-1376 slår konspiratorisk indhold op inden for få dage efter udbruddet af naturbrandene, der påstår, at brandene var resultatet af, at den amerikanske regering testede et "meteorologisk våben". Disse opslag blev ofte ledsaget af AI-genererede billeder af massive brande.

2. Øget forargelse over Japans bortskaffelse af radioaktivt spildevand

Storm-1376 lancerede en storstilet, aggressiv meddelelseskampagne, der kritiserede den japanske regering, efter at Japan begyndte at udlede behandlet radioaktivt spildevand i Stillehavet den 24. august 2023.9 Storm-1376's indhold såede tvivl om Det Internationale Atomenergiagentur (IAEA)'s videnskabelige vurdering af, at bortskaffelsen var sikker. Storm-1376 sendte uhæmmet beskeder på tværs af sociale medieplatforme på adskillige sprog, herunder japansk, koreansk og engelsk. Noget indhold beskylder endda USA for bevidst at forgifte andre lande for at bevare "herredømmet over vandende". Indholdet i denne kampagne bærer præg af at være genereret af kunstig intelligens.

I nogle tilfælde genbrugte Storm-1376 indhold, der blev brugt af andre aktører i det kinesiske propaganda-økosystem, herunder influencere på de sociale medier , der var tilknyttet de kinesiske statsmedier.10 Influencere og aktiver, der tilhører Storm-1376, uploadede tre identiske videoer, der kritiserede udslippet af spildevand fra Fukushima. Sådanne tilfælde af opslag fra forskellige aktører, der bruger identisk indhold tilsyneladende på samme tid, hvilket kan indikere koordinering af beskeder eller retning, er steget i løbet af 2023.

Et sammensat billede, der viser en satirisk illustration af personer, et skærmbillede af en vide, der viser en Godzilla, og et opslag på et socialt medie
Figur 9: AI-genererede memes og billeder, som er afgørende for Fukushimas spildevandsafledning fra skjulte kinesiske IO-aktiver (venstre) og kinesiske officielle myndigheder (midt for). Influencere, der samarbejder med kinesiske statsejede medier, forstærkede også myndighedsjusterede budskaber, som var afgørende for afledningen (højre).

3. At skabe splid i Sydkorea

I forbindelse med dumpningen af spildevand i Fukushima gjorde Storm-1376 en målrettet indsats for at ramme Sydkorea med lokaliseret indhold, der forstærkede protesterne i landet mod dumpningen, samt indhold, der var kritisk over for den japanske regering. Denne kampagne omfattede hundredvis af opslag på koreansk på flere platforme og websteder, herunder sydkoreanske sociale medier som Kakao Story, Tistory og Velog.io.11

Som en del af denne målrettede kampagne forstærkede Storm-1376 aktivt kommentarer og handlinger fra Minjoos leder og mislykkede præsidentkandidat ved valget i 2022, Lee Jaemyung (이재명, 李在明). Lee kritiserede Japans træk som "terror med forurenet vand" og ensbetydende med en "anden Stillehavskrig". Han beskyldte også Sydkoreas nuværende regering for at være "medskyldig ved at bakke op om" Japans beslutning og indledte en sultestrejke i protest, der varede i 24 dage.12

Tegneserie i fire paneler om miljøforurening og dens indvirkning på livet i havet.
Figur 10: Memes på koreansk fra den sydkoreanske blogplatform Tistory forstærker splittelsen om bortskaffelsen af spildevand fra Fukushima.

4. Kentucky derailment

Under Thanksgiving-ferien i november 2023 afsporede et tog med smeltet svovl i Rockcastle County, Kentucky. Cirka en uge efter afsporingen lancerede Storm-1376 en kampagne på de sociale medier, der forstærkede afsporingen, spredte konspirationsteorier mod den amerikanske regering og fremhævede politiske splittelser blandt de amerikanske vælgere, hvilket i sidste ende skabte mistillid til og manglende tro på den amerikanske regering. Storm-1376 opfordrede målgrupper til at overveje, om den amerikanske regering kan have forårsaget afsporingen og "bevidst skjuler noget".13 Nogle beskeder sammenlignede endda afsporingen med teorier om mørklægningen af 9/11 og Pearl Harbor.14

Kinesiske IO-sockpuppets søger perspektiver på amerikanske politiske emner

I vores rapport fra september 2023 fremhævede vi, hvordan CCP-tilknyttede konti på sociale medier er begyndt at efterligne amerikanske vælgere ved at udgive sig for at være amerikanere på tværs af det politiske spektrum og svare på kommentarer fra autentiske brugere.15 Disse bestræbelser på at påvirke det amerikanske midtvejsvalg i 2022 var de første i kinesisk IO.

Microsoft Threat Analysis Center (MTAC) har observeret en lille, men støt stigning i antallet af sockpuppet-konti, som vi vurderer med moderat sikkerhed er drevet af CCP. På X (tidligere Twitter) blev disse konti oprettet så tidligt som i 2012 eller 2013, men de begyndte først at poste under deres nuværende personaer i begyndelsen af 2023 – hvilket tyder på, at kontiene for nylig blev opkøbt eller er blevet genbrugt. Disse sockpuppets poster både originalt producerede videoer, memes og infografik samt genbrugt indhold fra andre højt profilerede politiske konti. Disse konti skriver næsten udelukkende om amerikanske indenrigsproblemer – lige fra amerikansk stofmisbrug, immigrationspolitik til racespændinger – men kommenterer lejlighedsvis også om emner, der er af interesse for Kina – såsom udledning af spildevand fra Fukushima eller kinesiske dissidenter.

Et skærmbillede af en computer med teksten Krig og konflikter, stofproblem, racerelationer osv.
Figur 11: I løbet af sommeren og efteråret brugte kinesiske sokkedukker og personligheder ofte engagerende visuelle elementer – nogle gange forbedret via generativ AI – i deres opslag, når de talte om politiske problemstillinger og aktuelle begivenheder i USA.
Sammen med politisk motiverede infografikker eller videoer spørger disse konti ofte deres følgere, om de er enige i det givne emne. Nogle af disse konti har postet om forskellige præsidentkandidater og derefter bedt deres følgere om at kommentere, om de støtter dem eller ej. Denne taktik kan have til formål at søge yderligere engagement eller muligvis at få indsigt i, hvordan amerikanerne ser på amerikansk politik. Flere af den slags konti kunne være i drift for at øge efterretningsindsamlingen omkring vigtige vælgergrupper i USA.
Sammenligning i billede med opdelt skærm: til venstre et militærfly, der letter fra et hangarskib, og til højre en gruppe personer, der sidder bag en afspærring
Figur 12: Kinesiske sokkedukker beder om meninger om politiske emner fra andre brugere på X

Nordkoreanske cybertrusselsaktører stjal hundredvis af millioner dollars i kryptovaluta, udførte angreb på softwareforsyningskæden og gik efter deres opfattede nationale sikkerhedsmodstandere i 2023. Deres operationer genererer indtægter til den nordkoreanske regering - især dens våbenprogram – og indsamler efterretninger om USA, Sydkorea og Japan.16

Infografik, der viser de sektorer og lande/områder, der er mest udsatte for cybertrusler.
Figur 13: Nordkoreas mest målrettede sektorer og lande/områder fra juni 2023 til januar 2024 baseret på Microsoft Threat Intelligence-data om nation-stater.

Nordkoreanske cyberaktører plyndrer en rekordstor mængde kryptovaluta for at generere indtægter til staten.

FN anslår, at nordkoreanske cyberaktører har stjålet over 3 milliarder USD i kryptovaluta siden 2017.17 Alene i 2023 blev der stjålet for mellem 600 millioner og 1 milliard USD. Disse stjålne midler finansierer angiveligt over halvdelen af landets atom- og missilprogram og gør det muligt for Nordkorea at sprede og teste våben på trods af sanktioner.18 Nordkorea har gennemført adskillige missiltests og militærøvelser i løbet af det seneste år og havde endda succes med at sende en militær rekognosceringssatellit ud i rummet den 21. november 2023.19

Tre trusselsaktører, der bliver sporet af Microsoft – Jade Sleet, Sapphire Sleet og Citrine Sleet – fokuserede siden juni 2023 mest på mål med kryptovaluta. Jade Sleet udførte store kryptovaluta-kup, mens Sapphire Sleet udførte mindre, men hyppigere tyverier af kryptovaluta. Microsoft tilskrev i begyndelsen af juni 2023 Jade Sleet tyveriet af mindst 35 millioner USD fra et kryptovalutafirma i Estland. Microsoft tilskrev også røveriet af over 125 millioner USD fra en Singapore-baseret kryptovaluta-platform til Jade Sleet en måned senere. I august 2023 begyndte Jade Sleet at kompromittere online kryptovaluta-casinoer.

Sapphire Sleet kompromitterede konsekvent adskillige medarbejdere, herunder ledere og udviklere i kryptovaluta-, venturekapital- og andre finansielle organisationer. Sapphire Sleet udviklede også nye teknikker, såsom at sende falske virtuelle mødeinvitationer med links til et angriberdomæne og registrere falske websteder til jobrekruttering. Citrine Sleet fulgte op på angrebet på forsyningskæder fra 3CX i marts 2023 ved at kompromittere en downstream tyrkisk virksomhed med kryptovaluta og digitale aktiver. Offeret var vært for en sårbar version af 3CX-applikationen, der var forbundet med kompromitteringen af forsyningskæden.

Nordkoreanske cyberaktører truer it-sektoren med spydphishing og angreb på softwareforsyningskæden

Nordkoreanske trusselsaktører udførte også angreb på softwareforsyningskæden på it-virksomheder, hvilket resulterede i adgang til downstream-kunder. Jade Sleet brugte GitHub repos og npm-pakker som våben i en social engineering spydphishing-kampagne, der var rettet mod ansatte i kryptovaluta- og teknologiorganisationer.20 Angriberne udgav sig for at være udviklere eller rekrutteringsfolk, inviterede deres ofre til at samarbejde om et GitHub-lager og overbeviste dem om at klone og eksekvere indholdet, som indeholdt ondsindede npm-pakker. Diamond Sleet gennemførte en kompromittering af forsyningskæden i en tyskbaseret it-virksomhed i august 2023 og brugte et program fra en Taiwan-baseret it-virksomhed som våben til at gennemføre et angreb på forsyningskæden i november 2023. Både Diamond Sleet og Onyx Sleet udnyttede TeamCity-sårbarheden CVE-2023-42793 i oktober 2023, hvilket gør det muligt for en angriber at udføre et angreb med ekstern udførelse af kode og få administrativ kontrol over serveren. Diamond Sleet brugte denne teknik til at kompromittere hundredvis af ofre i forskellige brancher i USA og europæiske lande, herunder Storbritannien, Danmark, Irland og Tyskland. Onyx Sleet udnyttede den samme sårbarhed til at kompromittere mindst 10 ofre – heriblandt en softwareudbyder i Australien og en myndighed i Norge – og brugte værktøjer efter kompromitteringen til at afvikle yderligere nyttelast.

Nordkoreanske cyberaktører gik målrettet efter USA, Sydkorea og deres allierede

Nordkoreanske trusselsaktører fortsatte med at gå efter deres opfattede nationale sikkerhedsmodstandere. Denne cyberaktivitet eksemplificerede Nordkoreas geopolitiske mål om at modarbejde den trilaterale alliance mellem USA, Sydkorea og Japan. De tre landes ledere stadfæstede dette partnerskab under Camp David-topmødet i august 2023.21 Ruby Sleet og Onyx Sleet fortsatte deres tendens med at angribe luftfarts- og forsvarsorganisationer i USA og Sydkorea. Emerald Sleet fortsatte sin rekognoscerings- og spydphishing-kampagne rettet mod diplomater og eksperter på den koreanske halvø i regeringen, tænketanke/NGO'er, medier og uddannelsesinstitutioner. Pearl Sleet fortsatte sine operationer rettet mod sydkoreanske enheder, der samarbejder med nordkoreanske afhoppere og aktivister med fokus på nordkoreanske menneskerettighedsspørgsmål i juni 2023. Microsoft vurderer, at motivet bag disse aktiviteter er indsamling af efterretninger.

Nordkoreanske aktører implementerer bagdøre i legitim software

Nordkoreanske trusselsaktører brugte også bagdøre til legitim software og udnyttede sårbarheder i eksisterende software. I første halvdel af 2023 brugte Diamond Sleet ofte VNC-malware som våben til at kompromittere ofre. Diamond Sleet genoptog også brugen af PDF-læser-malware som våben i juli 2023, teknikker, som Microsoft Threat Intelligence analyserede i et blogindlæg fra september 2022.22 Ruby Sleet brugte sandsynligvis også et bagdørs-installationsprogram af et sydkoreansk elektronisk dokumentprogram i december 2023.

Nordkorea brugte værktøjer med kunstig intelligens til at muliggøre ondsindede cyberaktiviteter

Nordkoreanske trusselsaktører tilpasser sig tidsalderen med kunstig intelligens. De er ved at lære at bruge værktøjer drevet af store sprogmodeller (LLM) med kunstig intelligens til at gøre deres arbejde mere effektivt. For eksempel observerede Microsoft og OpenAI, at Emerald Sleet brugte LLM'er til at forbedre spydphishing-kampagner rettet mod eksperter på den koreanske halvø.23 Emerald Sleet brugte LLM'er til at undersøge sårbarheder og foretage rekognoscering af organisationer og eksperter med fokus på Nordkorea. Emerald Sleet brugte også LLM'er til at fejlfinde tekniske problemer, udføre grundlæggende scriptingopgaver og udarbejde indhold til spydphishing-meddelelser. Microsoft samarbejdede med OpenAI om at deaktivere konti og aktiver forbundet med Emerald Sleet.

Kina vil fejre 75-årsdagen for grundlæggelsen af Folkerepublikken Kina i oktober, og Nordkorea vil fortsætte med at fremme vigtige avancerede våbenprogrammer. I mellemtiden, vil vi sandsynligvis se kinesiske cyber- og påvirkningsaktører, og til en vis grad nordkoreanske cyberaktører, arbejde på at målrette disse valg når befolkningerne i Indien, Sydkorea og USA går til stemmeurnerne.

Kina vil som minimum skabe og forstærke indhold genereret af kunstig intelligens, der gavner deres positioner i disse højprofilerede valg. Selvom effekten af sådant indhold i forhold til at påvirke målgrupper stadig er lav, vil Kinas stigende eksperimentering med at forstærke memes, videoer og lyd fortsætte – og måske vise sig at være effektiv på længere sigt. Mens kinesiske cyberaktører længe har udført rekognoscering af amerikanske politiske institutioner, er vi parate til at se indflydelsesrige aktører interagere med amerikanere for at engagere sig og potentielt undersøge perspektiver på amerikansk politik.

Endelig kan vi, efterhånden som Nordkorea indleder nye regeringspolitikker og forfølger ambitiøse planer om våbentest, forvente stadig mere sofistikerede kryptovaluta-kup og angreb mod forsyningskæder, der er rettet mod forsvarssektoren, der både tjener til at kanalisere penge ind i regimet og lette udviklingen af nye militære kapaciteter.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11. januar 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    "Sandsynlig PRC "Spamouflage"-kampagne rettet mod snesevis af canadiske parlamentsmedlemmer i kampagne med desinformation," oktober 2023,

  8. [8]
  9. [9]

    Flere kilder har dokumenteret den kinesiske regerings igangværende propagandakampagne, der har til formål at fremkalde international forargelse over Japans beslutning om at bortskaffe radioaktivt spildevand fra Fukushima Daiichi-atomulykken i 2011: Kinas desinformation skaber vrede over udslip af vand fra Fukushima", 31. august 2023"Japan mål for kinesisk propaganda og hemmelig online-kampagne", 8. juni 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Påvirkende cyberhandlinger Nation-stat Nation-stat-rapporter Social engineering Trusselsaktører

Relaterede artikler

Digitale trusler fra Det østlige Asien vokser i omfang og effektivitet

Dyk ned i og udforsk nye tendenser i Det østlige Asiens trusselslandskab, hvor Kina udfører både omfattende cyber- og påvirkningsoperationer (IO), mens nordkoreanske cybertrusselsaktører udviser voksende raffinement.
Få mere at vide

Lever af tillidsøkonomien: social engineering-svindel

Udforsk et digitalt landskab under udvikling, hvor tillid både er en valuta og en sårbarhed. Opdag de social engineering-svindeltaktikker, som cyberangribere bruger mest, og gennemse strategier, der kan hjælpe dig med at identificere og udmanøvrere social engineering-trusler, der er designet til at manipulere den menneskelige natur.
Få mere at vide

Iran øger antallet af cyberdrevne påvirkningsoperationer til støtte for Hamas

Find detaljerne om Irans cyberdrevne påvirkningsoperationer, der støtter Hamas i Israel. Find ud af, hvordan operationerne har bevæget sig gennem krigens forskellige faser, og undersøg de fire påvirkningstaktikker, -teknikker og -procedurer (TTP'er), som Iran foretrækker.
Få mere at vide

Følg Microsoft Security