Trace Id is missing

Las amenazas digitales procedentes de Asia Oriental aumentan en amplitud y eficacia

Una persona sentada delante de un PC

Introducción

Varias tendencias emergentes ilustran un entorno de amenazas cambiante en el Este de Asia, con China realizando ciberoperaciones y actividades de influencia y los actores de ciberamenazas de Corea del Norte demostrando una mayor sofisticación.

En primer lugar, los grupos de ciberamenazas afiliados al gobierno chino han mostrado un interés particular por la región del Mar de la China Meridional, dirigiendo el ciberespionaje a gobiernos y otras entidades críticas que rodean esta área marítima. Mientras tanto, China realiza intentos de atacar el sector de defensa de EE. UU. y sondear las señales de infraestructura de EE. UU. para obtener ventajas competitiva para sus relaciones exteriores y objetivos militares estratégicos.

En segundo lugar, China se ha vuelto más eficaz a la hora de interactuar con los usuarios de redes sociales con influencia en línea durante el último año. Las campañas de influencia online chinas han dependido desde hace mucho del volumen para llegar a los usuarios mediante redes de cuentas de redes sociales falsas. Sin embargo, desde 2022, las redes sociales alineadas con China han interactuado directamente con usuarios auténticos en redes sociales, con objetivo en candidatos específicos en contenido sobre las elecciones de EE. UU. y se han hecho pasar por votantes estadounidenses. De forma independiente, la iniciativa de influencers de redes sociales multilingüe afiliada con el gobierno chino ha conseguido interactuar con las audiencias objetivo en al menos 40 idiomas y ha hecho crecer su audiencia a más de 103 millones.

En tercer lugar, China ha continuado escalando sus campañas de actividades de influencia durante el último año, ampliando sus esfuerzos a nuevos idiomas y plataformas para aumentar su huella global. En las redes sociales, las campañas implementan miles de cuentas en docenas de sitios web que distribuyen memes, vídeos y mensajes en varios idiomas. En los medios de noticias online, los medios estatales chinos han realizado una actividad táctica y eficaz a la hora de posicionarse como una voz de autoridad sobre el discurso internacional sobre China, usando varios medios para ejercer influencia sobre los medios de noticias de todo el mundo. Una campaña difundió propaganda del Partido Comunista Chino (PCC) mediante sitios web de noticias localizados dirigidos a la diáspora china en más de 35 países.

Por último, Corea del Norte (qué, a diferencia de China, carece de capacidades como actor de influencia sofisticado) sigue siendo una ciberamenaza formidable. Corea del Norte ha demostrado interés continuo en la recopilación de inteligencia y un aumento en su sofisticación táctica al aprovechar ataques de cadena de suministro en cascada y realizar robos de criptomonedas, entre otras tácticas.

Las ciberoperaciones chinas tiene un foco renovado en el Mar de la China Meridional e industrias clave en Estados Unidos

Desde comienzos de 2023, Inteligencia contra amenazas Microsoft ha identificado tres áreas de interés especial para los actores de ciberamenaza afiliados a China: el Mar de la China Meridional, la base industrial de defensa de EE. UU y la infraestructura crítica de EE. UU.

Los objetivos patrocinados por el gobierno chino reflejan sus objetivos estratégicos en el Mar de China Meridional

Los actores de amenazas afiliados con el gobierno chino han demostrado un interés continuo en el Mar de China Meridional y Taiwán, lo que refleja los amplios intereses económicos, defensivos y políticos de China en esta región.1 Las disputas territoriales en conflicto, el aumento de las tensiones en el estrecho y el refuerzo de la presencia militar de EE. UU. pueden ser algunos de los motivos tras las ciberactividades ofensivas chinas.2

Microsoft ha identificado a Raspberry Typhoon (RADIUM) como el principal grupo de amenazas que ataca a naciones que rodean el Mar de China Meridional. Raspberry Typhoon ataca de forma consistente a ministerios, entidades militares y entidades corporativas conectadas con infraestructura crítica, en especial telecomunicaciones. Desde enero de 2023, Raspberry Typhoon ha sido especialmente persistente. Cuando ataca ministerios o infraestructura, Raspberry Typhoon suele recopilar inteligencia y ejecutar malware. En muchos países, los objetivos van desde ministerios relacionados con la defensa y la inteligencia a los relacionados con la economía y el comercio.

Flas Typhoon (Storm-0919) es el grupo de amenaza más destacado en la Isla de Taiwan. Este grupo ataca principalmente entidades de telecomunicación, educación, tecnologías de la información e infraestructura energética, normalmente aprovechando un dispositivo de VPN personalizado para establecer directamente su presencia en la red del objetivo. De la misma forma, Charcoal Typhoon (CHROMIUM) ataca las instituciones de educación, la infraestructura energética y la fabricación de alta tecnología taiwanesas. En 2023, Charcoal Typhoon y Flax Typhoon atacaron entidades aeroespaciales taiwanesas con contratos con el entramado militar taiwanés.

Mapa de la región del Mar de China Meridional en el que se destacan los eventos observados por país
Ilustración 1: Eventos observados por país en el Mar de China Meridional entre enero de 2022 y abril de 2023. Hay más información acerca de esta imagen en la página 4 del informe completo

Los actores de amenazas chinos dirigen su atención a Guam, en la que EE. UU está construyendo una base de la Marina

Varios grupos de amenaza basados en China continúan atacando la base industrial de defensa de EE. UU, en concreto Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) y Mulberry Typhoon (MANGANESE). Si bien los objetivos de estos tres grupos se solapan en ocasiones, son actores distintos con capacidades e infraestructura diferentes.3

Circle Typhoon tiene una ciberactividad amplia contra la base industrial de defensa de EE. UU. incluidos el desarrollo de recursos, la recopilación, el acceso adicional y el acceso con credenciales. Circle Typhoon suele aprovechar dispositivos de VPN para atacar la TI y los contratistas de defensa basados en EE. UU. Volt Typhoon también ha llevado a cabo reconocimiento contra varios contratistas de defensa de EE. UU. Guam es uno de los objetivos más frecuentes de estas campañas, en especial las entidades de telecomunicaciones y de comunicaciones de satélite y con sede en ella.4

Una táctica frecuente de Volt Typhoon implica poner en peligro una oficina pequeña y enrutadores domésticos, normalmente por el propósito de creación de infraestructura.5 Mulberry Typhoon también ha atacado la base industrial de EE. UU., en especial con una vulnerabilidad de día cero que atacó a los dispositivos.6 El objetivo aumentado de Guam es significativo dada su posición como el territorio de EE. UU. más cercano al Este de Asia y crucial para la estrategia de EE. UU. en la región.

Los grupos de amenaza chinos atacan la infraestructura crítica de EE. UU.

Microsoft ha observado grupos de amenaza afiliados con el gobierno chino atacando infraestructura crítica de EE. UU. en varios sectores y desarrollo de recurso significativo a lo largo de los últimos seis meses. Volt Typhoon ha sido el principal grupo tras esta actividad desde al menos el verano de 2021, y el alcance de esta actividad no se conoce totalmente.

Los sectores atacados incluyen el transporte (como los puertos y ferrocarriles), los servicios públicos (como la energía y el tratamiento de agua), la infraestructura médica (incluidos los hospitales) y la infraestructura de telecomunicaciones (incluidas los sistemas de comunicación por satélite y fibra óptica). Microsoft evalúa que esta campaña puede proporcionar a China la capacidad de alterar la infraestructura y comunicaciones críticas entre Estados Unidos y Asia.7

Los grupos de amenazas basados en China atacan a aproximadamente 25 organizaciones, incluidas las entidades gubernamentales

A partir del 15 de mayo, Storm-0558, un actor de amenaza basado en China, usó tokens de autenticación falsificados para acceder a cuentas de correo electrónico de clientes de Microsoft de aproximadamente 25 organizaciones, incluidas entidades gubernamentales de estadounidenses y europeas.8 Microsoft ha bloqueado con éxito esta campaña. El objetivo de este ataque era obtener acceso no autorizado a cuentas de correo electrónico. Microsoft determinó que esta actividad era consistente con los objetivos de espionaje de Storm-0558. Storm-0558 ha atacado anteriormente entidades diplomáticas estadounidenses y europeas.

China también tiene como objetivo sus socios estratégicos

A medida que China ha aumentado sus relaciones bilaterales y globales mediante la Iniciativa de la Franja y la Ruta (IFR), los actores de amenazas afiliados con el gobierno chino han realizado ciberoperaciones paralelas contra entidades públicas y privadas de todo el mundo. Los grupos de amenaza basados en china atacan a países que forman parte de la estrategia IFR del PCC, incluidas entidades en Kazajistán, Namibia, Vietnam, entre otros.9 Al mismo tiempo, la actividad de amenaza china tiene como objetivo ministerios extranjeros en Europa, América Latina y Asia, probablemente para obtener inteligencia o realizar espionaje económico.10 A medida que China amplía su influencia global, las actividades de los grupos de amenaza afiliados también lo hacen. Recientemente, en abril de 2023, Twill Typhoon (TANTALUM) puso en peligro con éxito equipos gubernamentales en África y Europa, así como organizaciones humanitarias de todo el mundo.

Las operaciones de las redes sociales alineadas con el PCC aumentan su interacción eficaz con el público

Las operaciones de influencia encubiertas afiliadas con el PCC han ahora empezado a interactuar de forma inicial con su público objetivo en las redes sociales con más frecuencia que anteriormente, lo que representa mayores niveles de sofisticación y cultivo de recursos de operaciones de influencia online. En los meses antes de las elecciones de medio mandato de EE. UU. de 2022, Microsoft y socios del sector observaron cómo las cuentas de redes sociales afiliadas al PCC se hacían pasar por votantes estadounidenses, algo nuevo en las operaciones de influencia afiliadas con el PCC.11 Estas cuentas se hicieron pasar por ciudadanos estadounidenses de todo el espectro político y respondieron a comentarios de usuarios reales.

Tanto en comportamiento como en contenido, estas cuentas muestran muchas tácticas, técnicas y procedimientos de las operaciones de influencia chinas documentadas. Entre los ejemplos se incluyen: cuentas publicando en mandarín en sus primeras fases antes de pasar a otro idioma, interactuar con contenido de otros recursos alineados con China inmediatamente después de publicar y usar un patrón de interacción de "semilla y amplificador".12 A diferencia de campañas de operaciones de influencia anteriores de los actores del afiliados con el PCC que usaron nombres de usuario, nombres para mostrar e imágenes de perfil generados por PC fáciles de detectar13, estas cuentas más sofisticadas están controladas por gente real que usa identidades ficticias o robadas para ocultar la afiliación de cuentas con el PCC.

Las cuentas de redes sociales en esta red muestran un comportamiento similar a la actividad que llevó a cabo un grupo de élite del Ministerio de Seguridad Pública (MSP) denominado Grupo de Trabajo Especial 912. De acuerdo con el Departamento de Justicia de EE. UU., el grupo controló una granja de troles de redes sociales que crearon miles de personalidades online falsas y difundieron propaganda del PCC que hacían objetivo a los activistas prodemocracia.

Desde aproximadamente marzo de 2023, algunos de los supuestos recursos de operaciones de influencia chinos en las redes sociales occidentales han empezado a aprovechar la inteligencia artificial generativa (IA) para crear contenido visual. Este contenido visual de alta calidad ya ha atraído mayores niveles de interacción de usuarios de redes sociales auténticos. Estas imágenes tienen las marcas de la generación de imágenes basada en difusión y son más atractivas que el contenido visual extraño de campañas previas. Los usuarios han republicado con mayor frecuencia estos elementos visuales, a pesar de los indicadores comunes de generación de IA, por ejemplo, más de cinco dedos en la mano de una persona.14

Publicaciones de redes sociales lado a lado en la que se muestran imágenes de Black Lives Matter idénticas.
Ilustración 2: Un gráfico de Black Lives Matter publicado inicialmente por una cuenta automatizada afiliada al PCC que siete horas más tarde fue compartida por una cuenta que se hacía pasar por un votante conservador estadounidense.
Una imagen de propaganda generada por IA de la Estatua de la Libertad.
Ilustración 3: Ejemplo de una imagen generada por IA publicada por un supuesto recurso de operaciones de influencia chino. La Estatua de la Libertad sosteniendo la antorcha tiene más de cinco dedos. Más información sobre esta imagen en la página 6 del informe completo.
Conjunto de cuatro categorías de influencers (periodistas, influencers de estilo de vida, compañeros de trabajo y minorías étnicas) a lo largo de un continuo que pasa de evidente a encubierto
Ilustración 4: Esta iniciativa se comprende de influencers que constituyen cuatro categorías basadas en sus trasfondos, audiencias objetivo, métodos de reclutamiento y estrategias de administración. Todos los individuos incluidos en este análisis tiene vínculo directo a los medios estatales chinos (ya sea mediante empleo, aceptación de invitaciones de viaje u otros intercambios monetarios). Más información sobre esta imagen en la página 7 del informe completo.

La iniciativa de influencers de medios estatales chinos

Otra estrategia que tiene involucración significativa en redes sociales es el concepto del PCC de "estudios de famosos de Internet multilingües" (多语种网红工作室).15 Aprovechando el poder de las voces auténticas, más de 230 empleados de medios estatales y afiliados se hacen pasar por influencers de redes sociales en las principales plataformas de redes sociales occidentales.16 En 2022 y 2023, nuevos influencers continuaron debutando cada siete semanas de media. Estos influencers reclutados, entrenados, promocionados y financiados por China Radio International (CRI) y otros medios estatales chinos, difunden propaganda del PCC localizada de forma experta que logra interacciones significativas con el público objetivo por todo el mundo, alcanzado al menos 103 millones de seguidores combinados en varias plataformas que hablan al menos 40 idiomas.

Aunque los influencers publican sobre todo contenido de estilo de vida inocuo, esta técnica esconde propaganda alineada con el PCC que trata de suavizar la imagen de China en el extranjero.

La estrategia de reclutamiento de influencers de los medios estatales chinos parece centrarse en dos grupos de personas: las que tienen experiencia en el periodismo (en especial en medios estatales) y graduados recientes de programas de estudio en idiomas extranjeros. En concreto, China Media Group (la empresa matriz de CRI y CGTN) parece reclutar directamente a los graduados de las principales escuelas de idiomas extranjeros chinas como la Universidad de Estudios Extranjeros de Beijing y la Universidad de Comunicación de China. Aquellos que no han sido reclutados directamente de universidades suelen ser antiguos periodistas y traductores, que eliminan cualquier indicador explícito de afiliación con medios estatales de sus perfiles tras su "cambio de imagen" como influencers.

El influencer hablante de lao Song Siao publica un vlog de estilo de vida hablando sobre la recuperación económica china tras la pandemia de COVID-19.
Ilustración 5: El influencer hablante de lao Song Siao publica un vlog de estilo de vida hablando sobre la recuperación económica china tras la pandemia de COVID-19. En el vídeo autofilmado, visita un concesionario en Beijing y habla con los ciudadanos del lugar. Más información sobre esta imagen en la página 8 del informe completo
Publicaciones de redes sociales de Techy Rachel, una influencer hablante de inglés.
Ilustración 6: Techy Rachel, una influencer hablante de inglés que suele publicar sobre innovaciones y tecnología chinas, se desvía de sus temas de contenido para hablar sobre el debate del globo espía chino. Al igual que otros medios estatales chinos, niega que el globo se haya usado para espionaje. Más información sobre esta imagen en la página 8 del informe completo

Los influencers alcanzan a audiencias de todo el mundo en al menos 40 idiomas

La distribución geográfica de los idiomas hablados por estos influencers afiliados al gobierno chino representa la creciente influencia de China a nivel global y la polarización de la región. Los influencers que hablan idiomas asiáticos distintos del chino (como el hindi, el cingalés, el pastún, el lao, el coreano, el malayo y el vietnamita) comprenden la mayor parte de los influyentes. Los influencers hablantes de inglés comprenden el segundo mayor grupo.
Cinco gráficos en el que se muestra el desglose de influencers de medios estatales chinos por idioma.
Ilustración 7: Desglose de influencers de redes sociales chinos por idioma. Más información sobre esta imagen en la página 9 del informe completo

Objetivos de audiencias de China a nivel mundial

Los influencers tienen como objetivo siete espacios de audiencia (grupos de idiomas) separados en regiones geográficas. No se muestran gráficos para espacios de audiencias en inglés o chino.

Las operaciones de influencia chinas amplían su alcance global en varias campañas

China aumento la escala de sus operaciones de influencia online en 2023 al alcanzar a audiencias en nuevos idiomas y en nuevas plataformas. Estas operaciones combinan un aparato de medios estatales explícito altamente controlado con recursos de medios sociales encubiertos y ofuscados, incluidos bots, que blanquean y amplifican las narrativas preferidas del PCC.17

Microsoft ha observado una de estas campañas alineadas con el PCC, que comenzó en enero de 2022 y continúa en el momento de escribir este documento, cuyo objetivo es la ONG española Safeguard Defenders después de que descubriese la existencia de más de 50 estaciones de policía chinas en el extranjero.18 Esta campaña contó con más de 1 800 cuentas en varias plataformas de redes sociales y docenas de sitios web para difundir memes, vídeos y mensajes alineados con el PCC que criticaban a los Estados Unidos y otras democracias.

Estas cuentas enviaron mensajes en nuevos idiomas (holandés, griego, indonesio, sueco, turco y uigur, entre otros) y en nuevas plataformas (incluidas Fandango, Rotten Tomatoes, Medium, Chess.com y VK, entre otros). A pesar de la escala y persistencia de esta operación, sus publicaciones raramente obtuvieron la interacción suficiente de usuarios auténticos, lo que destaca la naturaleza rudimentaria de estas actividades de red chinas.

Un conjunto de 30 logotipos de marcas tecnológicas familiares presentados junto a una lista de 16 idiomas
Ilustración 8: Contenido de operaciones de influencia alineados con el PCC detectados en muchas plataformas y muchos idiomas. Más información sobre esta imagen en la página 10 del informe completo
Ejemplos de capturas de pantalla lado a lado de propaganda en vídeo en taiwanés
Ilustración 9: Alto volumen de publicaciones compartidas de un vídeo en taiwanés pidiendo al gobierno de Taiwán que se "rinda" a Beijing. La gran diferencia entre impresiones y veces que se ha compartido es un gran indicador de actividad de operaciones de influencia coordinadas. Más información sobre esta imagen en la página 10 del informe completo

Una red global oculta de sitios web de noticias del PCC

Otra campaña de medios digitales que ilustra el alcance ampliado de las operaciones de influencia afiliadas con el PCC es una red de más de 50 sitios web de noticias en chino que apoyan el objetivo declarado del PCC de ser la voz de autoridad de todos los medios en chino a nivel mundial.19 A pesar de mostrarse como principalmente independiente, los sitios web no afiliados que buscan como público las comunidades de la diáspora china en todo el mundo, podemos hacer una suposición de que hay una alta probabilidad de que estos sitios web están afiliados con el Departamento de Trabajo del Frente Unido (DTFU) del PCC, un órgano responsable de fortalecer la influencia del PCC más allá de las fronteras de China: en especial al enlazar con los "chinos en el extranjero", basado en indicadores técnicos, la información del registro del sitio web y el contenido compartido.20
Mapa del mundo con más de 20 logotipos de sitios web chinos que tienen como objetivo la diáspora china global.
Ilustración 10: Mapa de sitios web que tienen como objetivo la diáspora china que se han determinado que son parte de esta estrategia de medios.  Hay más información acerca de esta imagen en la página 11 del informe completo

Dado que muchos de estos sitios comparten direcciones IP, consultar las resoluciones de dominio con Inteligencia contra amenazas de Microsoft Defender nos permitió descubrir más sitios en la red. Muchos de estos sitios web comparten código HTML web de front-end, en el que incluso los comentarios insertados del desarrollador web en el código suelen ser idénticos en distintos sitios web. Más de 30 de los sitios aprovechan el mismo sistema de administración de contenido y la misma interfaz de programación de aplicaciones (API) de una "subsidiaria totalmente controlada" de China News Service (CNS), la agencia de medios de UFWD.21 Los registros del Ministerio de Industria y Tecnologías de la Información de China indican que esta empresa tecnológica afiliada con el UFWD y otra han registrado al menos 14 sitios de noticias en esta red.22 Al usar subsidiarias y empresas de medios de terceros de esta forma, el UFWD puede alcanzar a una audiencia global a la vez que oculta su implicación directa.

Estos sitios web se hacen pasar por proveedores de noticias independientes y con frecuencia republican los mismos artículos de los medios estatales chinos, afirmando a menudo ser la fuente original del contenido. Si bien los sitios en general cubren noticias internacionales y publican artículos genéricos de los medios estatales chinos, los temas políticamente sensibles se alinean significativamente con las narrativas preferidas del PCC. Por ejemplo, varios cientos de artículos dentro de esta red de sitios web promueven afirmaciones falsas de que el virus COVID-19 es un arma biológica fabricada en el laboratorio de investigación biológica militar estadounidense en Fort Detrick.23 Los sitios también difunden con frecuencia declaraciones de funcionarios del gobierno chino y artículos de medios estatales que afirman que el virus COVID-19 se originó en los Estados Unidos y no en China. Estos sitios web ejemplifican hasta qué punto el control del PCC ha permeado el entorno de los medios de comunicación en chino, permitiendo al Partido ahogar el periodismo crítico con temas delicados.

Diagrama de cuerdas que muestra artículos superpuestos publicados por varios sitios.
Ilustración 11: Los sitios web se presentan como exclusivos de la región pero comparten contenido idéntico. Este diagrama de cuerdas muestra artículos superpuestos publicados por varios sitios. Más información sobre esta imagen en la página 12 del informe completo
Capturas de pantalla de cómo se volvió a publicar un artículo de China News Service en sitios web dirigidos a audiencias de Italia, Hungría, Rusia y Grecia
Ilustración 12: China News Service y otros medios estatales chinos publicaron un artículo titulado "Informe de la OMS revela biolaboratorios secretos estadounidenses en Ucrania". Luego, este artículo se publicó en sitios web dirigidos a audiencias de Hungría, Suecia, África occidental y Grecia. Más información sobre esta imagen en la página 12 del informe completo

Alcance global de los medios estatales chinos

Si bien la campaña descrita anteriormente destaca por su ofuscación, los sitios web de medios estatales chinos auténticos representan la gran mayoría de la audiencia global de los medios dirigidos por el PCC. Al ampliar su contenido a idiomas extranjeros,24 abrir agencias de medios estatales chinos en el extranjero25 y ofrecer contenido amigable con Beijing gratuito,26 el PCC amplía el alcance de su "poder de discurso" (话语权) al difundir propaganda en los medios de noticias de países de todo el mundo.27
Un organigrama que representa una instantánea del ecosistema de propaganda público del PCC.
Ilustración 13: Organigrama que representa una instantánea de las funciones y entidades que forman parte del ecosistema de propaganda público del PCC. Más información sobre esta imagen en la página 13 del informe completo

Medición del tráfico a los sitios web de los medios estatales chinos

AI for Good Lab de Microsoft ha desarrollado un índice para medir el flujo de tráfico de usuarios fuera de China hacia medios propiedad mayoritaria del gobierno chino. El índice mide la proporción del tráfico que visita estos sitios con respecto al tráfico total en Internet, como el Índice de Propaganda Rusa (RPI) introducido en junio de 2022.28

Cinco dominios prevalecen en el consumo de los medios estatales chinos y representan aproximadamente el 60 % de todas las visitas a las páginas de los medios estatales chinos.

Gráfico que muestra el consumo de medios chinos
Más información sobre esta imagen en la página 14 del informe completo

El índice puede ofrecer información sobre las tendencias en el éxito relativo de los medios de comunicación estatales chinos por geografía a lo largo del tiempo. Por ejemplo, entre los estados miembros de la Asociación de Naciones de Asia Sudoriental (ASEAN), Singapur y Laos destacan con más del doble de tráfico relativo a los sitios web de medios estatales chinos que Brunei, que ocupa el tercer lugar. Filipinas ocupa el último lugar, con 30 veces menos tráfico a los sitios web de medios estatales chinos que Singapur y Laos. En Singapur, donde el mandarín es un idioma oficial, el alto consumo de medios estatales chinos refleja la influencia de China en las noticias en mandarín. En Laos, los hablantes de chino son muchos menos, lo que refleja el éxito relativo de los medios estatales chinos en el entorno del país.

Captura de pantalla de la página de inicio del dominio más visitado, PhoenixTV.
Ilustración 14: Página de inicio del dominio más visitado, PhoenixTV, con el 32 % de todas las páginas vistas. Más información sobre esta imagen en la página 14 del informe completo

Las operaciones cibernéticas de Corea del Norte, cada vez más sofisticadas, recopilan inteligencia y generan ingresos para el Estado

Los actores de ciberamenazas de Corea del Norte llevan a cabo operaciones cibernéticas con el objetivo de (1) recopilar inteligencia sobre las actividades de los supuestos adversarios del estado: Corea del Sur, Estados Unidos y Japón (2) recopilar inteligencia sobre las capacidades militares de otros países para mejorar las suyas propias y (3) recaudar fondos en criptomonedas para el estado. Durante el año pasado, Microsoft observó mayores superposiciones de objetivos entre distintos actores de amenazas norcoreanos y un aumento en la sofisticación de los grupos de actividad norcoreanos.

Las prioridades cibernéticas de Corea del Norte enfatizan la investigación de tecnología marítima en medio de pruebas de vehículos y drones submarinos

Durante el año pasado, Inteligencia contra amenazas Microsoft ha observado mayores superposiciones de objetivos entre los actores de amenazas de Corea del Norte. Por ejemplo, tres actores de amenazas norcoreanos: Ruby Sleet (CERIUM), Diamond Sleet (ZINC) y Sapphire Sleet (COPERNICIUM), atacaron el sector marítimo y de construcción naval desde noviembre de 2022 hasta enero de 2023. Microsoft no había observado previamente este nivel de superposición de objetivos en múltiples grupos de actividades de Corea del Norte, lo que sugiere que la investigación de tecnología marítima era una alta prioridad para el gobierno de Corea del Norte en ese momento. En marzo de 2023, Corea del Norte probó dos misiles de crucero estratégicos desde un submarino hacia el Mar de Japón (también conocido como el Mar Oriental) como advertencia antes del ejercicio militar del "Escudo de libertad" entre Corea del Sur y Estados Unidos. Más tarde ese mes y el siguiente, Corea del Norte supuestamente probó dos drones de ataque submarino Haeil frente a la costa este del país hacia el Mar de Japón. Estas pruebas de capacidades militares marítimas se produjeron poco después de que tres grupos cibernéticos norcoreanos apuntaran a entidades de defensa marítima para recopilar inteligencia.

Los actores de amenazas comprometen a las empresas de defensa mientras el régimen norcoreano establece requisitos de recopilación de alta prioridad

Desde noviembre de 2022 hasta enero de 2023, Microsoft observó un segundo caso de superposición de objetivos, en el que Ruby Sleet y Diamond Sleet pusieron en peligro a empresas de defensa. Los dos actores de la amenaza pusieron en peligro a dos empresas de fabricación de armas con sede en Alemania e Israel. Esto sugiere que el gobierno de Corea del Norte está asignando múltiples grupos de actores de amenazas a la vez para cumplir con requisitos de recopilación de alta prioridad para mejorar las capacidades militares del país. Desde enero de 2023, Diamond Sleet también ha puesto en peligro a empresas de defensa en Brasil, Chequia, Finlandia, Italia, Noruega y Polonia.
Gráfico circular que muestra los sectores de defensa más atacadas por país en Corea del Norte
Ilustración 15: Corea del Norte apunta al sector de defensa por país, de marzo de 2022 a marzo de 2023

El gobierno y el sector de defensa rusos siguen siendo objetivos de Corea del Norte para recopilar inteligencia

Múltiples actores de amenazas norcoreanos han atacado recientemente al gobierno y al sector de defensa rusos, al mismo tiempo que brindan apoyo material a Rusia en su guerra en Ucrania.32 En marzo de 2023, Ruby Sleet comprometió un instituto de investigación aeroespacial en Rusia. Además, Onyx Sleet (PLUTONIUM) puso en peligro un dispositivo perteneciente a una universidad en Rusia a principios de marzo. Por otra parte, una cuenta de atacante atribuida a Opal Sleet (OSMIUM) envió correos electrónicos de phishing a cuentas pertenecientes a entidades gubernamentales diplomáticas rusas durante el mismo mes. Los actores de amenazas norcoreanos pueden estar aprovechando la oportunidad de recopilar información de inteligencia sobre entidades rusas debido al enfoque del país en su guerra en Ucrania.

Los grupos norcoreanos exhiben operaciones más sofisticadas mediante el robo de criptomonedas y ataques a la cadena de suministro

Microsoft considera que los grupos de actividad norcoreanos están llevando a cabo operaciones cada vez más sofisticadas mediante el robo de criptomonedas y ataques a la cadena de suministro. En enero de 2023, la Oficina Federal de Investigación de (FBI) atribuyó públicamente el robo de junio de 2022 de 100 millones de USD en criptomonedas de Harmony Horizon Bridge a Jade Sleet (DEV-0954), también conocido como Lazarus Group/APT38.33 Microsoft atribuyó el ataque de la cadena de suministro de 3CX de marzo de 2023 a Citrine Sleet (DEV-0139), que aprovechaba un compromiso anterior de la cadena de suministro de una empresa de tecnología financiera con sede en Estados Unidos en 2022. Esta fue la primera vez que Microsoft observó que un grupo de actividades utilizaba una vulneración existente en la cadena de suministro para llevar a cabo otro ataque de cadena de suministro, lo que demuestra la creciente sofisticación de las operaciones cibernéticas de Corea del Norte.

Emerald Sleet despliega una táctica de phishing demostrada al atraer a expertos para que respondan con ideas de política exterior

Emerald Sleet (THALLIUM) sigue siendo el actor de amenazas norcoreano más activo al que Microsoft rastreó durante el año pasado. Emerald Sleet continúa enviando frecuentes correos electrónicos de phishing a expertos sobre la península de Corea en todo el mundo con fines de recopilación de inteligencia. En diciembre de 2022, Inteligencia contra amenazas Microsoft detalló las campañas de phishing de Emerald Sleet dirigidas a expertos influyentes sobre Corea del Norte en Estados Unidos y países aliados de Estados Unidos. En lugar de implementar archivos maliciosos o enlaces a sitios web maliciosos, Microsoft descubrió que Emerald Sleet emplea una táctica única: hacerse pasar por instituciones académicas y ONG acreditadas para atraer a las víctimas y que respondan con opiniones y comentarios de expertos sobre las políticas exteriores relacionadas con Corea del Norte.

Capacidades: Influencia

Corea del Norte ha llevado a cabo operaciones de influencia limitada en plataformas de redes sociales para compartir vídeos como YouTube y TikTok durante el año pasado.34 Los influencers norcoreanos en YouTube son en su mayoría niñas y mujeres, una de ellas de tan solo once años, que publican vlogs sobre su vida diaria y promueven narrativas positivas sobre el régimen. Algunos de los influencers hablan inglés en sus videos, con la intención de llegar a una audiencia global más amplia. Los influencers de Corea del Norte son mucho menos efectivos que la iniciativa de influencers respaldada por los medios estatales chinos.

Mirada al futuro a medida que las tensiones geopolíticas impulsan la actividad cibernética e influyen en las operaciones

China ha seguido ampliando sus capacidades cibernéticas en los últimos años y ha mostrado mucha más ambición en sus campañas de operaciones de influencia. A corto plazo, Corea del Norte seguirá centrada en objetivos relacionados con sus intereses políticos, económicos y de defensa en la región. Podemos esperar un ciberespionaje más amplio contra opositores y partidarios de los objetivos geopolíticos del PCC en todos los continentes. Si bien los grupos de amenazas con sede en China continúan desarrollando y utilizando capacidades cibernéticas impresionantes, no hemos observado que China combine operaciones cibernéticas y de influencia, a diferencia de Irán y Rusia, que participan en campañas de piratería y filtración.

Operando a una escala incomparable con otros actores de influencia malintencionados, los actores de influencia alineados con China están preparados para aprovechar varias tendencias y eventos clave durante los próximos seis meses.

En primer lugar, las operaciones que utilizan vídeo y medios visuales se están convirtiendo en la norma. Las redes afiliadas al PCC han utilizado durante mucho tiempo imágenes de perfil generadas por IA y este año han adoptado el arte generado por IA para los memes visuales. Los actores respaldados por el estado chino también seguirán recurriendo a estudios de contenido privados y empresas de relaciones públicas para subcontratar propaganda a pedido.35

En segundo lugar, China seguirá buscando una auténtica participación de la audiencia, invirtiendo tiempo y recursos en activos cultivados en las redes sociales. Los influencers con profundos conocimientos culturales y lingüísticos y contenido de vídeo de alta calidad han sido pioneros en una participación exitosa en las redes sociales. El PCC aplicará algunas de estas tácticas, incluida la interacción con los usuarios de las redes sociales y la demostración de conocimientos culturales, para reforzar sus campañas encubiertas en las redes sociales.

En tercer lugar, es probable que Taiwán y Estados Unidos sigan siendo las dos principales prioridades de las operaciones de influencia chinas, en particular con las próximas elecciones en ambos países en 2024. Dado que los actores de influencia alineados con el PCC han atacado las elecciones estadounidenses en el pasado reciente, es casi seguro que lo volverán a hacer. Los recursos de redes sociales que se hacen pasar por votantes estadounidenses probablemente demostrarán mayores grados de sofisticación, sembrando activamente discordia a lo largo de líneas raciales, socioeconómicas e ideológicas con contenido que es ferozmente crítico con Estados Unidos.

  1. [2]

    Nuevas bases en Filipinas aumentan la presencia militar estadounidense en la región, https://go.microsoft.com/fwlink/?linkid=2262254

  2. [3]

    En la actualidad no hay pruebas suficientes para unir a los grupos.

  3. [16]
  4. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Estos actores influyentes a veces se conocen como “Spamouflage Dragon” o “DRAGONBRIDGE”.
  5. [20]

    Consulta: El marco del Centro de análisis de amenazas de Microsoft para determinar las atribuciones de influencia. https://go.microsoft.com/fwlink/?linkid=2262095; El gobierno chino se refiere comúnmente a la diáspora china como “chinos de ultramar” o 华侨 (huaqiao), refiriéndose a aquellos con ciudadanía o herencia china que residen fuera de la República Popular China. Para obtener más detalles sobre la interpretación que hace Beijing de la diáspora china, consulta: https://go.microsoft.com/fwlink/?linkid=2262777

  6. [23]

    El gobierno chino sembró esta narrativa al comienzo de la pandemia de COVID-19, consulta: https://go.microsoft.com/fwlink/?linkid=2262170 Los sitios web dentro de esta red que promueven esta afirmación incluyen: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  7. [28]

    Defendiendo Ucrania: Primeras lecciones de la guerra cibernética, https://go.microsoft.com/fwlink/?linkid=2262441

  8. [30]

    Otra interpretación de xuexi qiangguo es “Estudiar a Xi, fortalecer el país”. El nombre es un juego de palabras con el apellido de Xi Jinping. Los gobiernos, universidades y empresas de China promueven firmemente el uso de la aplicación, a veces avergonzando o castigando a sus subordinados por su uso poco frecuente; para obtener más información, consulta: https://go.microsoft.com/fwlink/?linkid=2262362

  9. [31]

    El periódico es propiedad de Shanghai United Media Group, que a su vez es propiedad del Comité del Partido Comunista de Shanghai: https://go.microsoft.com/fwlink/?linkid=2262098

  10. [35]

    El PCC ha invertido anteriormente en empresas del sector privado que ayudan a las campañas de operaciones de influencia mediante técnicas de manipulación de SEO, me gusta y seguidores falsos, y otros servicios. La adquisición de documentos revela estas apuestas, consulta: https://go.microsoft.com/fwlink/?linkid=2262522

Artículos relacionados

Volt Typhoon ataca infraestructura crítica de EE. UU. con técnicas "Living-off-the-Land"

Se ha observado que el actor de amenazas patrocinado por el estado chino Volt Typhoon utiliza técnicas sigilosas para apuntar a infraestructuras críticas de EE. UU., realizar espionaje y habitar en entornos en peligro.

La propaganda en la era digital: Cómo erosionan la confianza las operaciones de ciberinfluencia

Examina el mundo de las operaciones de influencia cibernética, donde los estados nación distribuyen propaganda concebida para amenazar la información fiable que la democracia necesita para florecer.

Irán recurre a las operaciones de influencia cibernética para lograr un mayor efecto

Inteligencia contra amenazas Microsoft descubrió un aumento de las operaciones de influencia cibernética desde Irán. Obtén información sobre amenazas con detalles sobre nuevas técnicas y posibles amenazas futuras.

Seguir a Seguridad de Microsoft