Trace Id is missing

Die gleichen Ziele, neue Playbooks: Ostasiatische Bedrohungsakteure nutzen einzigartige Methoden

Herunterladen
Teilen
Abstrakte Darstellung eines Kriegsschiffs mit grafischen roten Kreisen und schwarzen Netzelementen vor einem rosafarbenen Hintergrund.

Microsoft hat seit Juni 2023 mehrere beachtliche Cyber- und Desinformationstrends aus China und Nordkorea beobachtet, die zeigen, dass die Versuche nicht nur intensiviert wurden, sondern auch ausgeklügeltere Desinformationstechniken eingesetzt werden, um die Ziele zu erreichen.

Chinesische Cyberakteure haben in den letzten sieben Monaten im Wesentlichen drei Zielgebiete ausgewählt:

  • Eine Gruppe chinesischer Akteure hat sich umfassend auf Entitäten auf den Inseln im Südpazifik fokussiert.
  • Eine zweite Gruppe chinesischer Akteure hat die Cyberangriffe gegen regionale Kontrahenten im Südchinesischen Meer fortgesetzt.
  • Gleichzeitig hat eine dritte Gruppe chinesischer Akteure die US-amerikanische Verteidigungsindustrie kompromittiert.

Chinesische Desinformationsakteure haben nicht den geografischen Umfang ihrer Ziele ausgeweitet, sondern an ihren Techniken gefeilt und mit neuen Medien experimentiert. In chinesischen Desinformationskampagnen werden KI-generierte oder KI-optimiere Inhalte weiter verfeinert. Die Desinformationsakteure hinter diesen Kampagnen haben gezeigt, dass sie gewillt sind, KI-generierte Medien zu verstärken, die ihre strategischen Narrative stützen, und eigene Videos, Memes und Audioinhalte zu erstellen. Solche Taktiken wurden in Kampagnen eingesetzt, die die Spaltung in den USA anheizen und Risse in der Asien-Pazifik-Region, einschließlich Taiwan, Japan und Südkorea, vertiefen. Diese Kampagnen haben unterschiedliche Resonanz erfahren, und es gibt nicht die eine Formel, um eine konsistente Zielgruppenbeteiligung zu erzeugen.

Cyberakteure aus Nordkorea haben es in die Schlagzeilen geschafft, da sie im letzten Jahr vermehrt die Softwarelieferkette angegriffen und Kryptowährungen gestohlen haben. Strategische Spear-Phishing-Kampagnen gegen Forschende, die die koreanische Halbinsel untersuchen, bleiben ein konstanter Trend. Nordkoreanische Bedrohungsakteure scheinen jedoch zunehmend auf legitime Software zurückzugreifen, um noch mehr Opfer zu gefährden.

Gingham Typhoon hat es auf Regierungs-, IT- und multinationale Entitäten auf den Inseln im Südpazifik abgesehen

Im Sommer 2023 hat Microsoft Threat Intelligence umfangreiche Aktivitäten der in China beheimateten Spionagegruppe Gingham Typhoon beobachtet, die fast jedes Land auf den Inseln im Südpazifik ins Visier genommen hat. Gingham Typhoon ist der aktivste Akteur in dieser Region und trifft mit komplexen Phishing-Kampagnen internationale Organisationen, Regierungsstellen und den IT-Sektor. Zu den Opfer gehören lautstarke Kritiker der chinesischen Regierung.

Diplomatische Verbündete von China, die zu Opfern der letzten Gingham Typhoon-Aktivitäten wurden, sind Regierungsbehörden, handelsbezogene Abteilungen, Internetdienstanbieter sowie eine Transportentität.

Der verstärkte geopolitische und diplomatische Wettbewerb in der Region kann der Antrieb für diese offensiven Cyberaktivitäten sein. China verfolgt strategische Partnerschaften mit Staaten auf den Inseln im Südpazifik, um wirtschaftliche Beziehungen auszubauen und diplomatische und Sicherheitsvereinbarungen auszuhandeln. Von der chinesischen Cyberspionage in dieser Region sind auch Wirtschaftspartner betroffen.

Chinesische Akteure haben beispielsweise im großen Maßstab multinationale Organisationen in Papua-Neuguinea angegriffen, einem langjährigen diplomatischen Partner, der von zahlreiche BRI-Projekten (Belt and Road Initiative, „Neue Seidenstraße“) profitiert, wie vom Bau einer Schnellstraße, die die Regierungsgebäude von Papua-Neuguinea mit den Hauptstraßen der Hauptstadt verbindet.1

Karte, die die Häufigkeit von gezielten Cyberbedrohungen in pazifischen Inselstaaten zeigt, mit größeren Kreisen.
Abbildung 1: Beobachtete Ereignisse von Gingham Typhoon von Juni 2023 bis Januar 2024. Diese Aktivität verdeutlicht die anhaltende Konzentration auf die südpazifischen Inselnationen. Viele dieser Aktivitäten sind jedoch schon seit Jahren im Gange und spiegeln die Konzentration auf diese Region wider. Die geografischen Standorte und der Durchmesser der Symbole sind repräsentativ.

Inmitten von Militärmanövern des Westens bleibt das Südchinesische Meer im Fokus chinesischer Bedrohungsakteure

Bedrohungsakteure in China zielen weiterhin auf Entitäten im Südchinesischen Meer und dessen Umgebung, die mit wirtschaftlichen und militärischen Interessen von China in Zusammenhang stehen. Bei dieser Gelegenheit haben diese Akteure Regierungs- und Telekommunikationsopfer im Verband Südostasiatischer Nationen (ASEAN) kompromittiert. Chinesische staatsnahe Cyberakteure zeigen eine besonderes Interesse an Zielen, die mit den zahlreichen Militärmanövern der USA in der Region in Beziehung stehen. Im Juni 2023 hat Raspberry Typhoon, eine nationalstaatliche Aktivitätsgruppe mit Sitz in China, Wochen vor einem seltenen multilateralen Seemanöver mit Indonesien, China und den USA erfolgreich Militär- und Führungsentitäten in Indonesien und ein malaysischen Seefahrtssystem angegriffen.

Entitäten, die mit einem Seemanöver der USA und der Philippinen in Zusammenhang stehen, waren Ziel eines anderen chinesischen Cyberakteurs, Flax Typhoon. Granite Typhoon, ein weiterer Bedrohungsakteur mit Sitz in China, hat in diesem Zeitraum primär Telekommunikationsentitäten in der Region kompromittiert. Opfer finden sich in Indonesien, Malaysia, den Philippinen, Kambodscha und Taiwan.

Seit der Veröffentlichung des Microsoft-Blogs zu Flax Typhoon hat Microsoft im Herbst und Winter 2023 neue Flax Typhoon-Ziele in den Philippinen, Hongkong, Indien und den USA festgestellt.2 Dieser Akteur greift zudem häufig den Telekommunikationssektor an, was oft zu vielen nachgelagerten Effekten führt.

Karte mit Daten von Microsoft Threat Intelligence zu den am stärksten angegriffenen Regionen in Asien.
Abbildung 2: Beobachtete Ereignisse, die auf Länder im oder um das Südchinesische Meer zielen, durch Flax Typhoon, Granite Typhoon oder Raspberry Typhoon. Die geografischen Standorte und der Durchmesser der Symbole sind repräsentativ.

Nylon Typhoon kompromittiert Entitäten für auswärtige Angelegenheiten weltweit

Der Bedrohungsakteur Nylon Typhoon mit Sitz in China hat seine langjährige Gepflogenheit, Entitäten für auswärtige Angelegenheiten in Ländern weltweit anzugreifen, fortgesetzt. Zwischen Juni und Dezember 2023 hat Microsoft Nylon Typhoon bei Regierungsentitäten in Südamerika, einschließlich Brasilien, Guatemala, Costa Rica und Peru, beobachtet. Der Bedrohungsakteur trat auch in Europa in Erscheinung und hat Regierungsentitäten in Portugal, Frankreich, Spanien, Italien und dem Vereinigen Königreich kompromittiert. Die meisten europäischen Ziele waren zwar Regierungsentitäten, es wurden aber auch einige IT-Unternehmen kompromittiert. Zweck dieser Angriffe ist die Nachrichtengewinnung.

Chinesische Bedrohungsgruppen nehmen militärische Entitäten und die kritische Infrastruktur in den USA ins Visier

Schließlich nahmen die Aktivitäten von Storm-0062 im Herbst und Winter 2023 stark zu. Viele dieser Aktivitäten kompromittierten Regierungsentitäten mit Bezug zur US-Verteidigung. Darunter waren Zulieferer, die technische Ingenieursdienstleistungen im Zusammenhang mit Luftfahrt, Verteidigung und natürlichen Ressourcen bereitstellen, die für die nationale Sicherheit der USA kritisch sind. Darüber hinaus hat Storm-0062 wiederholt militärische Entitäten in den USA zum Ziel gehabt. Es ist jedoch unklar, ob die Gruppe bei den versuchten Kompromittierungen erfolgreich war.

Die US-amerikanische Verteidigungsindustrie bleibt ein Ziel von Volt Typhoon. Im Mai 2023 konnte Microsoft Angriffe auf Organisationen der kritischen Infrastruktur in den USA Volt Typhoon zuschreiben, einem vom chinesischen Staat geförderten Akteur. Volt Typhoon hat mit LOTL-Techniken (Living off the Land) und Hands-on-Keyboard-Aktivitäten die Netzwerke von Organisationen infiltriert.3 Diese Taktiken haben Volt Typhoon heimlich einen nicht autorisierten Zugriff auf die Zielnetzwerke ermöglicht. Von Juni 2023 bis Dezember 2023 hat Volt Typhoon weiterhin die kritische Infrastruktur angegriffen, aber auch auf die Ressourcenentwicklung gezielt, indem SOHO-Geräte (Small Office and Home Office) in den USA kompromittiert wurden.

In unserem Bericht von September 2023 haben wir ausgeführt, wie chinesische IO-Ressourcen (Influence Operation, Desinformationskampagne) damit begonnen haben, mithilfe von generativer KI überzeugende, ansprechende visuelle Inhalte zu erstellen. Im Verlauf des Sommers konnte Microsoft Threat Intelligence weiterhin KI-generierte Memes identifizieren, die auf die USA abzielten, kontroverse heimische Probleme verstärkten und die aktuelle Regierung kritisierten. Mit China verbundene IO-Akteure verwenden weiterhin KI-optimierte und KI-generierte Medien (im Folgenden „KI-Inhalt“ genannt) in Desinformationskampagnen. Deren Volumen und Häufigkeit haben im Verlauf des Jahres noch zugenommen.

Mehr KI und mehr Desinformation

Der produktivste dieser Akteure, die KI-Inhalt nutzen, ist Storm-1376. Dies ist die von Microsoft gewählte Bezeichnung für einen mit der Kommunistischen Partei Chinas (KPCh) verbundenen Akteur, der auch als „Spamouflage“ oder „Dragonbridge“ bekannt ist. Im Winter haben andere mit der KPCh verbundene Akteure mit einem umfassenderen Einsatz von KI-Inhalt begonnen, um Online-IO zu ergänzen. Dazu gehörte eine bemerkenswerte Zunahme von Inhalten zu taiwanesischen Politikern und Politikerinnen im Vorfeld der Präsidentenwahlen am 13. Januar. Dies war das erste Mal, dass Microsoft Threat Intelligence bezeugen konnte, wie ein nationalstaatlicher Akteur mit KI-Inhalt versucht hat, eine Wahl im Ausland zu beeinflussen.

KI-generiertes Audio: Am Wahltag in Taiwan hat Storm-1376 mutmaßlich KI-generierte Audioclips des Foxconn-Inhabers Terry Gou veröffentlicht, ein unabhängiger Kandidat bei der Präsidentschaftswahl in Taiwan, der seine Kandidatur im November 2023 zurückgezogen hat. In der Audioaufzeichnung mit der Stimme von Gou wurde ein anderer Kandidat für die Präsidentschaftswahl befürwortet. Die Stimme von Gou in der Aufzeichnung ist wahrscheinlich KI-generiert, da Gou eine solche Aussage nie getroffen hat. YouTube ist schnell aktiv geworden, bevor dieser Inhalt eine beträchtliche Benutzerzahl erreicht hat. Diese Videos folgten Tage, nachdem ein gefälschter Brief von Terry Gou online zirkulierte, in dem derselbe Kandidat unterstützt wurde. Das führende Faktencheck-Unternehmen von Taiwan hat den Brief entlarvt. In Gous Kampagne selbst wurde der Brief als Fälschung bezeichnet. Außerdem sollten als Reaktion rechtliche Maßnahmen ergriffen werden.4 Gou hat formal keinen Präsidentschaftskandidaten unterstützt.
Ein Mann im Anzug spricht auf einem Podium mit chinesischem Text und einer Grafik mit einer Audiowellenform im Vordergrund.
Abbildung 3: Die von Storm-1376 veröffentlichten Videos verwendeten KI-generierte Sprachaufnahmen von Terry Gou, um den Anschein zu erwecken, er habe einen anderen Kandidaten unterstützt.
KI-generierte Anker: KI-generierte Nachrichtenanker, die von Dritten mithilfe des Capcut-Tools des chinesischen Technologieunternehmens ByteDance generiert wurden, tauchten in einer Vielzahl von Kampagnen mit taiwanesischen Amtspersonen5 sowie in Nachrichten zu Myanmar auf. Storm-1376 nutzte solche KI-generierten Nachrichtenanker mindestens seit Februar 2023,6 aber der Umfang der Inhalte in diesen Ankern hat in den letzten Monaten zugenommen.
Collage eines Militärfahrzeugs
Abbildung 4: Storm-1376 veröffentlichte Videos auf Mandarin und Englisch, in denen die Gruppe behauptete, die Vereinigten Staaten und Indien seien für die Unruhen in Myanmar verantwortlich. In einigen dieser Videos wird derselbe KI-generierte Moderator verwendet.
KI-optimierte Videos: Wie von der kanadischen Regierung und anderen Forschenden offengelegt, haben KI-generierte Videos die Ähnlichkeit eines in Kanada lebenden chinesischen Dissidenten in einer Kampagne genutzt, die sich an kanadische MPs richtete.7 Diese Videos waren Teil einer Kampagne auf mehreren Plattformen, zu der auch die Belästigung kanadischer Politiker und Politikerinnen auf ihren Social Media-Konten gehörte. Sie fälschten aufrührerische Aussagen des Dissidenten zur Regierung von Kanada. Bereits zuvor wurden KI-optimierte Videos gegen diesen Dissidenten eingesetzt.
Eine Person, die an einem Schreibtisch sitzt.
Abbildung 5: KI-gesteuerte Deepfake-Videos, in denen sich der Dissident abfällig über Religion äußert. Obwohl eine ähnliche Taktik wie bei der Kanada-Kampagne angewendet wurde, scheinen diese Videos inhaltlich nichts miteinander zu tun zu haben.
KI-generierte Memes: Storm-1376 hat eine Reihe von KI-generierten Memes des Präsidentschaftskandidaten der Demokratischen Fortschrittspartei von Taiwan William Lai im Dezember zusammen mit einem Countdown verbreitet, in dem die Tage bis zur Ablösung der Partei von der Macht heruntergezählt wurden.
Grafische Darstellung mit zwei Bildern nebeneinander, von denen eines eine Figur mit einem roten x und das andere dieselbe Figur ohne Markierung zeigt.
Abbildung 6: KI-generierte Memes beschuldigten den DPP-Präsidentschaftskandidaten William Lai, Gelder aus Taiwans zukunftsweisendem Infrastrukturentwicklungsprogramm veruntreut zu haben. Diese Memes enthielten vereinfachte Schriftzeichen (die in der VR China, nicht aber in Taiwan verwendet werden) und waren Teil einer Serie, die einen täglichen „Countdown zur Entmachtung der DPP“ zeigte.
Infografik zur Zeitleiste, die den Einfluss von KI-generierten Inhalten auf die Wahlen in Taiwan von Dezember 2023 bis Januar 2024 zeigt.
Abbildung 7: Eine Zeitleiste mit KI-generierten und -verbesserten Inhalten, die im Vorfeld der Präsidentschafts- und Parlamentswahlen in Taiwan im Januar 2024 erschienen sind. Storm-1376 ergänzte mehrere dieser Inhalte und war für die Erstellung von Inhalten in zwei Kampagnen verantwortlich.

Mehr reaktive Nachrichten von Storm-1376 – manchmal mit konspirativen Narrativen

Storm-1376 ist ein Akteur, dessen Desinformationskampagnen sich über mehr als 175 Websites und 58 Sprache erstrecken. Er lanciert häufig Kampagnen zu wichtigen geopolitischen Anlässen, insbesondere zu solchen, bei denen die USA in einem ungünstigen Licht erscheinen oder die die Interessen der KPCh in der APAC-Region befördern. Seit unserem letzten Bericht im September 2023 haben sich diese Kampagnen auf mehrere bedeutende Arten weiterentwickelt. Dazu gehören das Einbinden KI-generierter Fotos, um die Zielgruppe in die Irre zu führen, das Anheizen konspirativer Inhalte (insbesondere gegen die US-Regierung) und das Abzielen auf neue Bevölkerungsgruppen wie Südkorea mit lokalisierten Inhalten.

1. Behaupten, dass die „Wetterwaffe“ der US-Regierung für die Brände auf Hawaii verantwortlich war

Als im August 2023 Brände an der Nordwestküste von Maui, Hawaii, wüteten, hat Storm-1376 die Gelegenheit genutzt, auf mehreren Social Media-Plattformen konspirative Narrative zu verbreiten. In diesen Posts wurde die US-Regierung beschuldigt, die Brände absichtlich ausgelöst zu haben, um eine militärische „Wetterwaffe“ zu testen. Der Text wurde nicht nur in mindestens 31 Sprachen auf zahlreichen Websites und Plattformen veröffentlicht, Storm-1376 hat auch KI-generierte Bilder brennender Küstenstraßen und Häuser verwendet, damit die Inhalte stärker auffallen.8

Ein Bildcollage mit einem „Fake“-Stempel über Szenen von dramatischen Bränden.
Abbildung 8: Storm-1376 postete wenige Tage nach dem Ausbruch der Waldbrände verschwörungstheoretische Inhalte und behauptet, die Brände seien das Ergebnis von Tests der US-Regierung mit einer „meteorologischen Waffe“. Diese Beiträge wurden häufig von KI-generierten Fotos der riesigen Brände begleitet.

2. Verstärken der Entrüstung über die Entsorgung radioaktiven Abwassers durch Japan

Storm-1376 hat in großem Maßstab eine aggressive Nachrichtenkampagne gestartet, in der die japanische Regierung kritisiert wurde, nachdem Japan am 24. August 2023 damit begonnen hat, aufbereitetes radioaktives Abwasser in den Pazifik einzuleiten.9 Die Inhalte von Storm-1376 ziehen die wissenschaftliche Beurteilung der Internationalen Atomenergie-Organisation (International Atomic Energy Agency, IAEA) in Zweifel, dass die Entsorgung sicher ist. Storm-1376 verbreitet Nachrichten wahllos auf Social Media-Plattformen in zahlreichen Sprachen, einschließlich japanisch, koreanisch und englisch. In einigen Inhalten wurden sogar die USA beschuldigt, absichtlich andere Länder zu vergiften, um die „Wasserhegemonie“ zu erhalten. In dieser Kampagne genutzte Inhalte deuten auf KI-Generierung hin.

In einigen Fällen hat Storm-1376 Inhalte wiederverwendet, die von anderen Akteuren des chinesischen Propaganda-Ökosystems genutzt wurden. Dazu gehören auch Social Media-Influencer/-Influencerinnen, die mit chinesischen Staatsmedien verbunden sind.10 Influencer/Influencerinnen und Ressourcen, die zu Storm-1376 gehören, haben drei identische Videos hochgeladen, in denen die Entsorgung von Fukushima-Abwasser kritisiert wird. Fälle, bei denen Beiträge von unterschiedlichen Akteuren gleichzeitig identische Inhalte verwenden, was auf eine Koordination oder eine Weisung bezüglich der Nachrichten hindeutet, haben im Jahr 2023 zugenommen.

Ein zusammengesetztes Bild mit einer satirischen Illustration von Menschen, einem Screenshot eines Videos, das Godzilla zeigt, und einem Social Media-Post.
Abbildung 9: KI-generierte Memes und Bilder, die die Abwasserentsorgung in Fukushima kritisieren, von verdeckten chinesischen IO-Ressourcen (links) und chinesischen Regierungsbeamten (Mitte). Influencer, die mit chinesischen Staatsmedien verbunden sind, haben außerdem regierungsnahe Botschaften verstärkt, die die Entsorgung kritisieren (rechts).

3. Schüren von Uneinigkeit in Südkorea

Im Zusammenhang mit der Fukushima-Abwasserentsorgung hat Storm-1376 eine konzertierte Aktion unternommen, die mit lokalisierten Inhalten auf Südkorea abzielte. Damit wurden die Proteste gegen die Entsorgung in dem Land sowie kritische Inhalte gegenüber der japanischen Regierung verstärkt. Zu dieser Kampagne gehörten Hunderte von Beiträgen in Korea auf mehreren Plattformen und Websites, beispielsweise auch südkoreanische Social Media-Sites wie Kakao Story, Tistory und Velog.io.11

Im Rahmen dieser zielgerichteten Kampagne hat Storm-1376 aktiv Kommentare und Aktionen des Minjoo-Vorsitzenden und erfolglosen Präsidentschaftskandidaten von 2022 Lee Jaemyung verstärkt (이재명, 李在明). Lee hat die Maßnahme von Japan als „Terror mit verseuchtem Wasser“ und gleichbedeutend mit dem „zweiten Pazifikkrieg“ kritisiert. Darüber hinaus hat er die aktuelle Regierung von Südkorea beschuldigt, durch Unterstützung der Entscheidung ein Komplize von Japan zu sein. Als Protest hat einer einen Hungerstreik begonnen, der 24 Tage andauerte.12

Vierteiliger Comic, der die Umweltverschmutzung und ihre Auswirkungen auf das Meeresleben thematisiert.
Abbildung 10: Koreanischsprachige Memes der südkoreanischen Blogging-Plattform Tistory verstärken die Uneinigkeit über die Entsorgung von Fukushima-Abwasser.

4. Entgleisung in Kentucky

Während der Feiertage zu Thanksgiving im November 2023 ist ein Güterzug mit geschmolzenen Schwefel in Rockcastle County, Kentucky, entgleist. Etwa eine Woche später hat Storm-1376 eine Social Media-Kampagne gestartet, in der die Entgleisung ausgenutzt wurde. Dabei wurden Verschwörungstheorien gegen die US-Regierung verbreitet und die politische Spaltung der US-Wählerschaft hervorgehoben. Letztlich wurden Misstrauen und Desillusionierung gegenüber der US-Regierung bestärkt. Storm-1376 hat das Publikum bedrängt, in Betracht zu ziehen, dass die US-Regierung für die Entgleisung verantwortlich ist und „vorsätzlich etwas geheim hält“.13 In einigen Nachrichten wurde die Entgleisung sogar mit Verschwörungstheorien im Zusammenhang mit 9/11 und Pearl Harbor verknüpft.14

Chinesische IO-Sockenpuppen ermitteln Perspektiven in der US-Politik

In unserem Bericht von September 2023 haben wird erläutert, dass mit der KPCh verbundene Social Media-Konten neuerdings US-Wähler und -Wählerinnen imitieren, indem sie sich als Amerikaner und Amerikanerinnen aus dem gesamten politischen Spektrum ausgeben und Kommentare von authentischen Benutzern und Benutzerinnen beantworten.15 Diese Anstrengungen, die US-Zwischenwahlen von 2022 zu beeinflussen, markierten die erste beobachtete chinesische IO.

Das Microsoft Threat Analysis Center (MTAC) hat eine geringfügige, aber stetige Zunahme weiterer Sockenpuppenkonten festgestellt, von denen wir mit einiger Sicherheit annehmen, dass sie zur KPCh gehören. Auf X (ehemals Twitter) wurden diese Konten bereits 2012 oder 2013 angelegt. Die ersten Beiträge erschienen unter den aktuellen Personas jedoch erst in 2023. Dies lässt vermuten, dass die Konten erst kürzlich erworben oder einem neuen Zweck zugeführt wurden. Diese Sockenpuppen posten selbst produzierte Videos, Memes und Infografiken, aber auch wiederverwendete Inhalte von anderen öffentlichkeitswirksamen politischen Konten. Die Konten posten fast ausschließlich zur US-Innenpolitik: vom Drogenkonsum über die Einwanderungspolitik bis hin zu Rassenkonflikten. Gelegentlich finden sich aber auch Kommentare zu für China relevante Themen, wie die Entsorgung des Fukushima-Abwassers oder chinesische Dissidenten.

Screenshot eines Computers mit verschiedenen Texten zu aktuellen Themen und Problemen.
Abbildung 11: Im Laufe des Sommers und Herbstes haben chinesische Sockenpuppen und Personas in ihren Beiträgen zu politischen Themen und aktuellen Ereignissen in den USA häufig ansprechende Bilder verwendet, die manchmal durch generative KI verbessert wurden.
Neben politisch motivierten Infografiken oder Videos fragen diese Konten ihre Follower und Followerinnen häufig, ob sie einem bestimmten Thema zustimmen. Einige dieser Konten haben über verschiedene Präsidentschaftskandidaten und -kandidatinnen gepostet und dann ihre Follower und Followerinnen gefragt, ob sie sie unterstützen. Zweck dieser Taktik kann eine engere Bindung sein. Möglicherweise sollten aber auch Erkenntnisse zu Ansichten von Amerikanern und Amerikanerinnen zur US-Politik gesammelt werden. Weitere solcher Konten könnten genutzt werden, um die Datensammlung im Zusammenhang mit wichtigen demografischen Wählerdaten innerhalb der USA zu verbessern.
Bildvergleich im geteilten Bildschirm: links ein Militärjet, der von einem Flugzeugträger startet, und rechts eine Gruppe von Menschen, die hinter einer Absperrung sitzen
Abbildung 12: Chinesische Sockenpuppen bitten andere Nutzer auf X um ihre Meinung zu politischen Themen.

Cyberbedrohungsakteure aus Nordkorea haben 2023 enorme Summen in Kryptowährung gestohlen, Angriffe auf die Softwarelieferkette durchgeführt und vermeintliche Feinde für die nationale Sicherheit angegriffen. Mit ihren Operationen wurden Einnahmen für die nordkoreanische Regierung, insbesondere für das Waffenprogramm, generiert und Daten über die USA, Südkorea und Japan gesammelt.16

Infografik mit den Sektoren und Ländern, die am stärksten von Cyberbedrohungen betroffen sind.
Abbildung 13: Die Sektoren und Länder, die von Juni 2023 bis Januar 2024 am stärksten im Visier Nordkoreas standen, basierend auf den Benachrichtigungsdaten von Microsoft Threat Intelligence für Nationalstaaten.

Nordkoreanische Cyberakteure erbeuten Kryptowährung in Rekordhöhe, um Einnahmen für den Staat zu generieren.

Die Vereinten Nationen schätzen, dass nordkoreanische Cyberakteure seit 2017 mehr als 3 Milliarden USD in Kryptowährung gestohlen haben.17 Allein in 2023 wurden insgesamt zwischen 600 Millionen USD und 1 Milliarde USD erbeutet. Diese gestohlenen Gelder finanzieren Berichten zufolge über die Hälfte des Nuklear- und Waffenprogramm des Landes. Trotz Sanktionen kann Nordkorea dadurch Waffen entwickeln und testen.18 Nordkorea hat im letzten Jahr zahlreiche Waffentests und Militärübungen durchgeführt. Am 21. November 2023 wurde sogar ein militärischer Aufklärungssatellit in den Weltraum geschickt.19

Drei von Microsoft verfolgte Hauptakteure – Jade Sleet, Sapphire Sleet und Citrine Sleet – haben sich seit Juni 2023 am stärksten auf Kryptowährungsziele konzentriert. Jade Sleet hat in großen Raubüberfällen Kryptowährung erbeutet, während Sapphire Sleet kleinere, aber häufigere Diebstähle von Kryptowährung durchgeführt hat. Microsoft hat den Diebstahl von mindestens 35 Millionen USD von einer Krypto-Firma in Estland Anfang Juni 2023 Jade Sleet zugeschrieben. Microsoft hat auch den Raub von mehr als 125 Millionen USD von einer Krypto-Plattform in Singapur einen Monat später Jade Sleet zugeordnet. Im August 2023 hat Jade Sleet damit begonnen, Krypto-Casinos zu kompromittieren.

Sapphire Sleet hat immer wieder zahlreiche Mitarbeitende kompromittiert, darunter Führungskräfte und Fachkräfte in der Entwicklung in Krypto-, Venture-Capital- und anderen Finanzorganisationen. Darüber hinaus hat Sapphire Sleet neue Techniken entwickelt. Dazu zählen das Senden von Einladungen zu virtuellen Fake-Besprechungen mit Links zu einer Angreiferdomäne und die Registrierung von Fake-Websites zur Jobvermittlung. Citrine Sleet hat den 3CX-Lieferkettenangriff vom März 2023 fortgesetzt, indem eine nachgelagerte Firma für Kryptowährungen und digitale Vermögenswerte mit Sitz in der Türkei kompromittiert wurde. Das Opfer hat eine gefährdete Version der 3CX-Anwendung gehostet, die mit der Lieferkettenkompromittierung verknüpft ist.

Nordkoreanische Cyberakteure bedrohen den IT-Sektor mit Spear-Phishing-Angriffen und Angriffen auf die Softwarelieferkette

Nordkoreanische Bedrohungsakteure haben in IT-Firmen Angriffe auf die Softwarelieferkette durchgeführt, die zu Zugriff auf nachgelagerte Kunden geführt haben. Jade Sleet hat GitHub-Repositorys und npm-Pakete in einer Social Engineering-Spear-Phishing-Kampagne als Waffe verwendet, die auf Mitarbeitende in Krypto- und Technologieorganisationen abzielte.20 Die Angreifenden haben sich als Fachkräfte in der Entwicklung oder der Personalvermittlung ausgegeben und die Ziele zur Zusammenarbeit an einem GitHub-Repository eingeladen. Dabei wurden sie überzeugt, Inhalte zu klonen und auszuführen, die die schädlichen npm-Paket enthielten. Diamond Sleet hat im August 2023 die Lieferkette eines IT-Unternehmens mit Sitz in Deutschland kompromittiert und eine Anwendung einer IT-Firma aus Taiwan als Waffe verwendet, um im November 2023 den Lieferkettenangriff durchzuführen. Diamond Sleet und Onyx Sleet haben beide im Oktober 2023 das Sicherheitsrisiko „TeamCity CVE-2023- 42793“ missbraucht. Damit konnten Angreifende einen Angriff mit Remotecodeausführung durchführen und die administrative Steuerung des Servers erlangen. Diamond Sleet nutzte diese Technik, um Hunderte von Opfern in unterschiedlichen Branchen in den USA und europäischen Ländern, einschließlich Vereinigtes Königreich, Dänemark, Irland und Deutschland, zu kompromittieren. Onyx Sleet hat dasselbe Sicherheitsrisiko missbraucht, um mindestens 10 Opfer zu kompromittieren, darunter ein Softwareanbieter in Australien und eine Regierungsbehörde in Norwegen. Anschließend wurden weitere Payloads ausgeführt.

Ziele der nordkoreanischen Cyberakteure waren die USA, Südkorea und deren Verbündete

Bedrohungsakteure aus Nordkorea zielten weiterhin auf vermeintliche Feinde für die nationale Sicherheit ab. Diese Cyberaktivität veranschaulichte das geopolitische Ziel von Nordkorea, der trilateralen Allianz zwischen den USA, Südkorea und Japan entgegenzuwirken. Die politische Führung der drei Länder hat bei einem Gipfel in Camp David im August 2023 diese Partnerschaft verfestigt.21 Ruby Sleet und Onyx Sleet zielten weiterhin auf Luftfahrts- und Verteidigungsunternehmen in den USA und Südkorea. Emerald Sleet setzte die Aufklärungs- und Spear-Phishing-Kampagne gegen Diplomaten und Fachleute in den Bereichen Regierung, Think Tanks/NGOs, Medien und Bildung auf der koreanischen Halbinsel fort. Pearl Sleet hat im Juni 2023 Operationen gegen südkoreanische Entitäten fortgesetzt, die mit nordkoreanischen Überläufern und Aktivisten in Verbindung stehen, die sich schwerpunktmäßig mit der Menschenrechtslage in Nordkorea befassen. Microsoft vermutet, dass es bei diesen Aktivitäten um Datensammlung geht.

Nordkoreanische Akteure implementieren Hintertüren in legitimer Software

Nordkoreanische Bedrohungsakteure nutzen zudem Hintertüren in legitimer Software und profitieren so von Sicherheitsrisiken in vorhandener Software. Im ersten Halbjahr von 2023 hat Diamond Sleet häufig VNC-Schadsoftware als Waffe verwendet, um Opfer zu kompromittieren. Diamond Sleet hat im Juli 2023 auch wieder PDF-Reader-Schadsoftware als Waffe verwendet. Dies ist eine Technik, die Microsoft Threat Intelligence in einem Blogbeitrag im September 2022 analysiert hat.22 Wahrscheinlich hat Ruby Sleet im Dezember 2023 zudem ein Hintertür-Installationsprogramm eines südkoreanischen Programms für elektronische Dokumente eingesetzt.

Nordkorea setzt KI-Tools für böswillige Cyberaktivitäten ein

Nordkoreanische Bedrohungsakteure passen sich an das KI-Zeitalter an. Sie erlernen den Einsatz von Tools, die von KI und großen Sprachmodellen (Large Language Models, LLM) gestützt werden, um ihre Operationen effizienter und effektiver zu machen. Beispielsweise haben Microsoft und OpenAI festgestellt, dass Emerald Sleet LLMs nutzt, um Spear-Phishing-Kampagnen gegen Fachleute für die koreanische Halbinsel auszuweiten.23 Emerald Sleet hat mit LLMs Sicherheitsrisiken untersucht und Aufklärung zu Organisationen und Fachleuten betrieben, deren Schwerpunkt Nordkorea ist. Emerald Sleet nutzte LLMs auch für die Behandlung technischer Probleme, für einfache Skriptaufgaben und für den Entwurf der Inhalte von Spear-Phishing-Nachrichten. Microsoft hat gemeinsam mit OpenAI Konten und Ressourcen deaktiviert, die mit Emerald Sleet in Verbindung stehen.

China feiert im Oktober den 75. Jahrestag der Gründung der Volksrepublik China. Nordkorea treibt wichtige Programme zu ausgereiften Waffen voran. Gleichzeitig stehen in Indien, Südkorea und in den USA Wahlen an. Wahrscheinlich werden chinesische Cyber- und Desinformationsakteure und zu einem gewissen Grad auch nordkoreanische Cyberakteure diese Wahlen zum Ziel nehmen.

China wird wenigstens KI-generierte Inhalte erstellen und verstärken, die die eigenen Positionen in diesen wichtigen Wahlen stützen. Der Einfluss solcher Inhalte bleibt zwar in wechselnden Zielgruppen gering, aber mit mehr chinesischen Experimenten beim Ergänzen von Memes, Videos und Audios können sie letztlich effektiv sein. Chinesische Cyberakteure haben lange Aufklärung hinsichtlich der politischen Institutionen der USA betrieben. Wir erwarten daher, dass Desinformationsakteure mit Amerikanern und Amerikanerinnen interagieren und möglicherweise Perspektiven auf die US-Politik ausforschen.

Da Nordkorea die Regierungspolitik ändert und ehrgeizige Pläne für Waffentests verfolgt, gehen wir von immer ausgereifteren Diebstählen von Kryptowährungen und Angriffen auf Lieferketten aus, die sich gegen den Verteidigungssektor richten. Dadurch möchte das Regime Geld einnehmen und die Entwicklung neuer militärischer Kompetenzen ermöglichen.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    „錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?“, 11. Januar 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    „Probable PRC „Spamouflage“ campaign targets dozens of Canadian Members of Parliament in disinformation campaign“, Oktober 2023,

  8. [8]
  9. [9]

    Mehrere Quellen haben fortlaufende Propagandakampagnen der chinesischen Regierung dokumentiert, die darauf abzielten, internationale Entrüstung über die Entscheidung von Japan zu schüren, radioaktives Abwasser des Reaktorunfalls von Fukushima Daiichi im Jahr 2011 zu entsorgen: „China’s Disinformation Fuels Anger Over Fukushima Water Release“, 31. August 2023„Japan targeted by Chinese propaganda and covert online campaign“, 8. Juni 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Desinformationskampagnen im Cyberspace Nationalstaat Berichte zu Nationalstaaten Social Engineering Bedrohungsakteure

Verwandte Artikel

Digitale Bedrohungen aus Ostasien gewinnen an Reichweite und Effektivität

Informieren Sie sich über neue Trends in der sich ständig weiterentwickelnden Bedrohungslandschaft in Ostasien, wo China umfangreiche Cyber- und Einflusskampagnen durchführt, während die Cyberbedrohungen aus Nordkorea immer ausgefeilter werden.
Mehr erfahren

Gespeist aus Vertrauen: Social-Engineering-Betrug

Erkunden Sie eine digitale Landschaft im Wandel, in der Vertrauen gleichzeitig eine Währung und ein Sicherheitsrisiko ist. Untersuchen Sie die bei Cyberangriffen am häufigsten genutzten Social Engineering-Betrugsmaschen, und prüfen Sie Strategien, mit denen Sie Social Engineering-Bedrohungen identifizieren und neutralisieren können, die auf die Manipulation der menschlichen Natur abzielen.
Mehr erfahren

Der Iran setzt vermehrt Cyber­desinformations­kampagnen zur Unterstützung der Hamas ein

Erfahren Sie Details zu den iranischen Cyberdesinformationskampagnen zur Unterstützung der Hamas in Israel. Erfahren Sie, wie Operationen sich in verschiedenen Phasen des Kriegs weiterentwickelt haben, und analysieren Sie die vier Kerneinflusstaktiken, -techniken und -verfahren (Tactics, Techniques and Procedures, TTPs), die der Iran am häufigsten einsetzt.
Mehr erfahren

Microsoft Security folgen