Trace Id is missing

Mêmes cibles, nouvelles règles du jeu : Les acteurs de la menace d’Asie Est emploient des méthodes uniques

Télécharger
Partagez
Illustration abstraite d’un navire de guerre avec des cercles rouges graphiques et filet noir sur un fond rose.

Depuis juin 2023, Microsoft a observé plusieurs tendances notables en matière de cyberinfluence de la part de la Chine et de la Corée du Nord, qui non seulement redoublent d’efforts pour atteindre des cibles habituelles, mais essaient aussi d’utiliser des techniques d’influence plus sophistiquées pour atteindre leurs objectifs.

Au cours des sept derniers mois, les cyberacteurs chinois se sont en grande partie concentrés sur trois domaines cibles :

  • Un groupe d’acteurs chinois a largement ciblé des entités dans les îles du Pacifique Sud.
  • Un deuxième groupe d’activités chinoises a poursuivi une série de cyberattaques contre des adversaires régionaux dans la mer de Chine méridionale.
  • Pendant ce temps, un troisième groupe d’acteurs chinois a compromis la base industrielle de défense des États-Unis.

Les acteurs chinois de l’influence, plutôt que d’élargir la portée géographique de leurs cibles, ont perfectionné leurs techniques et expérimenté de nouveaux médias. Les campagnes d’influence chinoises ont continué à affiner les contenus générés ou améliorés par l’IA. Les acteurs d’influence à l’origine de ces campagnes ont montré leur volonté de développer les médias générés par l’IA qui servent leur stratégie, ainsi qu’à créer leurs propres vidéos, mèmes et contenus audio. Ces tactiques ont été utilisées dans des campagnes alimentant les divisions aux États-Unis et exacerbant les dissensions dans la région Asie-Pacifique, notamment à Taïwan, au Japon et en Corée du Sud. Ces campagnes ont atteint des niveaux de résonance variables, sans qu’aucune formule unique ne permette d’obtenir un engagement constant de la part de l’audience.

Les cyberacteurs nord-coréens ont fait les gros titres pour avoir multiplié les attaques contre la chaîne d’approvisionnement logicielle et les vols de cryptomonnaies au cours de l’année écoulée. Si les campagnes stratégiques de harponnage ciblant les chercheurs spécialistes de la péninsule coréenne sont restées une tendance constante, les acteurs de la menace nord-coréenne ont semblé utiliser davantage de logiciels légitimes pour compromettre encore plus de victimes.

Gingham Typhoon cible les entités gouvernementales, informatiques et multinationales dans les îles du Pacifique Sud

Au cours de l’été 2023, la Veille des menaces Microsoft a observé une multiplication d’activités du groupe d’espionnage Gingham Typhoon, basé en Chine, ciblant presque tous les pays des îles du Pacifique Sud. Gingham Typhoon est l’acteur le plus actif dans cette région, ciblant les organisations internationales, les entités gouvernementales et le secteur informatique avec des campagnes d’hameçonnage complexes. Des opposants virulents au gouvernement chinois faisaient également partie des victimes.

Parmi les alliés diplomatiques de la Chine victimes des activités récentes de Gingham Typhoon, figuraient des bureaux exécutifs du gouvernement, des services liés au commerce, des fournisseurs d’accès à Internet, ainsi qu’une entité de transport.

L’intensification de la concurrence géopolitique et diplomatique dans la région peut être à l’origine de ces cyberactivités offensives. La Chine poursuit des partenariats stratégiques avec les nations insulaires du Pacifique Sud afin d’étendre les liens économiques et de négocier des accords diplomatiques et de sécurité. Le cyberespionnage chinois dans cette région surveille également ses partenaires économiques.

Par exemple, des acteurs chinois se sont livrés à un ciblage à grande échelle d’organisations multinationales en Papouasie-Nouvelle-Guinée, un partenaire diplomatique de longue date qui bénéficie de multiples projets de l’initiative des « Nouvelles routes de la soie », notamment la construction d’une grande autoroute qui relie un bâtiment du gouvernement de Papouasie-Nouvelle-Guinée à la route principale de la capitale.1

Carte illustrant la fréquence des cybermenaces ciblant les pays insulaires du Pacifique, sous forme de grands cercles
Figure 1 : Actions du groupe Gingham Typhoon observées entre juin 2023 et janvier 2024. Cette cyberactivité met en évidence la poursuite d’actions axées sur les nations insulaires du Pacifique Sud. Toutefois, la plupart de ces actions ciblées s’inscrivent dans une stratégie de longue date, reflétant l’attention portée depuis des années sur la région. Les emplacements géographiques et le diamètre des symboles sont une représentation figurative.

Les acteurs chinois de la menace se concentrent sur la mer de Chine méridionale dans le contexte des exercices militaires occidentaux

Les acteurs de la menace basés en Chine ont continué à cibler des entités liées aux intérêts économiques et militaires de la Chine dans la mer de Chine méridionale et ses alentours. Ces acteurs ont compromis de manière opportuniste des gouvernements et des télécommunications de l’Association des nations de l’Asie du Sud-Est (ANASE). Les cyberacteurs affiliés à l’État chinois semblent particulièrement intéressés par les cibles liées aux nombreux exercices militaires des États-Unis menés dans la région. En juin 2023, Raspberry Typhoon, un groupe d’activités étatique basé en Chine, a réussi à prendre pour cible des entités militaires et exécutives en Indonésie et un système maritime malaisien dans les semaines précédant un rare exercice naval multilatéral impliquant l’Indonésie, la Chine et les États-Unis.

De même, des entités liées aux exercices militaires américano-philippins ont été ciblées par un autre cyberacteur chinois, Flax Typhoon. Pendant ce temps, Granite Typhoon, un autre acteur de la menace basé en Chine, a principalement compromis des entités de télécommunications dans la région au cours de cette période, avec des victimes en Indonésie, en Malaisie, aux Philippines, au Cambodge et à Taïwan.

Depuis la publication du blog de Microsoft sur Flax Typhoon, Microsoft a observé de nouvelles cibles de Flax Typhoon aux Philippines, à Hong Kong, en Inde et aux États-Unis au début de l’automne et de l’hiver 2023.2 Cet acteur s’attaque aussi fréquemment au secteur des télécommunications, ce qui entraîne souvent de nombreux effets en aval.

Carte affichant les données de la Veille des menaces Microsoft sur les régions les plus ciblées en Asie,
Figure 2 : Événements observés ciblant des pays situés dans ou autour de la mer de Chine méridionale par le typhon Flax, le typhon Granite ou le typhon Raspberry. Les emplacements géographiques et le diamètre des symboles sont une représentation figurative.

Nylon Typhoon compromet des entités d’affaires étrangères dans le monde entier

L’acteur de la menace Nylon Typhoon, basé en Chine, a poursuivi sa longue pratique consistant à cibler des entités du secteur des affaires étrangères dans des pays du monde entier. Entre juin et décembre 2023, Microsoft a observé la présence de Nylon Typhoon dans des entités gouvernementales en Amérique latine, notamment au Brésil, au Guatemala, au Costa Rica et au Pérou. L’acteur de la menace a également été observé en Europe, compromettant des entités gouvernementales au Portugal, en France, en Espagne, en Italie et au Royaume-Uni. Si la plupart des cibles européennes étaient des entités gouvernementales, certaines entreprises informatiques ont également été compromises. L’objectif de ce ciblage est la collecte de renseignements.

Un groupe de menace chinois cible des entités militaires et des infrastructures critiques aux États-Unis

Enfin, Storm-0062 a connu un regain d’activité au cours de l’automne et de l’hiver 2023. Une grande partie de cette activité compromet les entités gouvernementales des États-Unis liées à la défense, y compris les prestataires qui fournissent des services d’ingénierie technique dans les domaines de l’aérospatiale, de la défense et des ressources naturelles essentielles à la sécurité nationale des États-Unis. En outre, Storm-0062 a ciblé à plusieurs reprises des entités militaires aux États-Unis, mais il n’est pas certain que le groupe ait réussi dans ses tentatives de compromission.

La base industrielle de défense des États-Unis reste également une cible permanente de Volt Typhoon. En mai 2023, Microsoft a attribué des attaques contre des infrastructures critiques des États-Unis à Volt Typhoon, un acteur étatique basé en Chine. Volt Typhoon a accédé aux réseaux des organisations grâce à des techniques de type « Living off the land » et à des activités de type « Hands-on keyboard ».3 Ces tactiques ont permis à Volt Typhoon de maintenir discrètement un accès non autorisé aux réseaux cibles. De juin 2023 à décembre 2023, Volt Typhoon a continué à cibler les infrastructures critiques, mais a également cherché à développer les ressources en compromettant les appareils SOHO (Small Office et Home Office) à travers les États-Unis.

Dans notre rapport de septembre 2023, nous expliquions comment les opérations d’influence chinoises avaient commencé à utiliser l’IA générative pour créer des contenus visuels soignés et attrayants. Tout au long de l’été, la Veille des menaces Microsoft a continué d’identifier des mèmes générés par l’IA ciblant les États-Unis qui amplifiaient les polémiques nationales et critiquaient l’administration actuelle. Les acteurs d’opérations d’influence liés à la Chine ont continué à utiliser des médias améliorés et générés par l’IA (ci-après « contenu de l’IA ») dans des campagnes d’influence, avec une fréquence et un volume croissants tout au long de l’année.

L’IA progresse (mais ne parvient pas à s’imposer)

Le plus prolifique de ces acteurs utilisant du contenu d’IA est Storm-1376, la désignation par Microsoft de l’acteur lié au Parti communiste chinois (PCC) communément appelé « Spamouflage » ou « Dragonbridge ». Au cours de l’hiver, d’autres acteurs liés au PCC ont commencé à utiliser un plus large éventail de contenus d’IA pour renforcer les opérations d’influence en ligne. Il s’agit principalement d’une augmentation notable des contenus mettant en scène des personnalités politiques taïwanaises à l’approche des élections présidentielles et législatives du 13 janvier. C’est la première fois que la Veille des menaces Microsoft constate qu’un acteur étatique utilise un contenu d’IA pour tenter d’influencer une élection à l’étranger.

Audio généré par l’IA : Le jour des élections à Taïwan, Storm-1376 a mis en ligne des clips audio suspectés d’être générés par l’IA et concernant le propriétaire de Foxconn, Terry Gou, candidat indépendant à la présidentielle de Taïwan, qui s’est retiré de la course en novembre 2023. Les enregistrements audio contenaient la voix de M. Gou soutenant un autre candidat dans la course à la présidence. Sa voix dans les enregistrements est probablement générée par l’IA, car il n’a fait aucune déclaration de ce type. YouTube a rapidement réagi à ce contenu avant qu’il n’atteigne un nombre important d’utilisateurs. Ces vidéos ont été diffusées quelques jours après qu’une fausse lettre de Terry Gou soutenant le même candidat ait circulé en ligne. Les principales organisations taïwanaises de vérification des faits ont démenti cette lettre. L’équipe de campagne de M. Gou a également déclaré que la lettre n’était pas authentique et qu’elle répondrait par une action en justice.4 M. Gou n’a officiellement soutenu aucun candidat à la course à la présidentielle.
Homme en costume parlant sur une estrade, avec du texte en chinois et une image de forme d’onde audio en arrière-plan.
Figure 3 : Vidéos publiées par le groupe Storm-1376 où des enregistrements avec la voix de Terry Gou ont été générés par l’intelligence artificielle pour faire croire qu’il soutenait un autre candidat présidentiel.
Présentateurs générés par l’IA : Des présentateurs de journaux télévisés générés par l’IA par des entreprises technologiques tierces, à l’aide de l’outil Capcut de l’entreprise technologique chinoise ByteDance, sont apparus dans diverses campagnes mettant en scène des responsables taïwanais5, ainsi que dans des messages sur le Myanmar. Storm-1376 utilise de tels présentateurs de journaux télévisés générés par l’IA depuis au moins février 20236, mais le volume de son contenu comportant ces présentateurs a augmenté au cours des derniers mois.
Collage photo d’un véhicule militaire
Figure 4 : Storm-1376 a publié des vidéos en mandarin et en anglais affirmant que les États-Unis et l’Inde étaient responsables de l’agitation sociale au Myanmar. Le même présentateur généré par IA est utilisé dans certaines de ces vidéos.
Vidéos améliorées par l’IA : Comme l’ont révélé le gouvernement canadien et d’autres chercheurs, des vidéos améliorées par l’IA ont utilisé l’image d’un dissident chinois basé au Canada dans le cadre d’une campagne visant les députés canadiens.7 Ces fausses vidéos, qui n’étaient qu’une partie d’une campagne multiplateforme comprenant le harcèlement de politiciens canadiens sur leurs comptes de réseaux sociaux, montraient le dissident critiquant avec virulence le gouvernement canadien. Des vidéos similaires améliorées par l’IA ont déjà été utilisées contre ce dissident.
Une personne assise à un bureau
Figure 5 : Des vidéos « deepfake », réalisées par IA, montrant le dissident s’exprimant de manière désobligeante sur la religion. Bien qu’elles utilisent des tactiques similaires à celles de la campagne canadienne, ces vidéos ne semblent pas avoir de lien entre elles en termes de contenu.
Mèmes générés par l’IA : En décembre, Storm-1376 a fait la promotion d’une série de mèmes générés par l’IA et représentant William Lai, alors candidat à la présidentielle du Parti démocrate progressiste (DPP) de Taïwan, avec un compte à rebours indiquant le nombre de jours restants avant que le DPP ne soit chassé du pouvoir.
Représentation graphique avec deux images côte à côte, l’une avec un chiffre marqué d’un x rouge et l’autre avec le même chiffre non marqué.
Figure 6 : Des mèmes générés par IA accusent le candidat à la présidence du Parti démocrate progressiste (PDP), William Lai, d’avoir détourné des fonds du Programme de développement prospectif d’infrastructures de Taïwan. Ces mèmes comportaient des caractères simplifiés (utilisés en RPC mais pas à Taïwan) et faisaient partie d’une série de mèmes montrant un « compte à rebours quotidien pour chasser le PDP du pouvoir »
Infographie montrant l’influence du contenu généré par l’intelligence artificielle sur les élections à Taïwan de décembre 2023 à janvier 2024.
Figure 7 : Chronologie des contenus générés et améliorés par l’IA qui ont fait leur apparition à l’approche des élections présidentielles et législatives de janvier 2024 à Taïwan. Storm-1376 a amplifié plusieurs de ces contenus et a été responsable de la création de contenu pour deux campagnes.

Storm-1376 continue d’envoyer des messages réactifs, parfois accompagnés de récits conspirationnistes

Storm-1376, un acteur dont les opérations d’influence couvrent plus de 175 sites web et 58 langues, a continué d’organiser fréquemment des campagnes de messages réactifs autour d’événements géopolitiques de premier plan, en particulier ceux qui présentent les États-Unis sous un jour défavorable ou qui renforcent les intérêts du PCC dans la région Asie-Pacifique. Depuis notre dernier rapport en septembre 2023, ces campagnes ont évolué de plusieurs manières importantes, notamment en incorporant des photos générées par l’IA pour tromper le public, en alimentant des contenus conspirationnistes (en particulier contre le gouvernement des États-Unis) et en ciblant de nouvelles populations, comme la Corée du Sud, avec des contenus localisés.

1. Affirmer qu’une « arme météorologique » du gouvernement des États-Unis est à l’origine des incendies d’Hawaï

En août 2023, alors que des incendies font rage sur la côte nord-ouest de Maui, à Hawaï, Storm-1376 saisit l’occasion pour diffuser des récits conspirationnistes sur plusieurs plateformes de réseaux sociaux. Ces messages prétendaient que le gouvernement des États-Unis avait délibérément déclenché les incendies pour tester une « arme météorologique »de qualité militaire. En plus de publier le texte dans au moins 31 langues sur des dizaines de sites web et de plateformes, Storm-1376 a utilisé des images générées par l’IA de routes côtières et de résidences en flammes pour un contenu plus accrocheur.8

Image composite avec un cachet « fake » sur des scènes d’incendies spectaculaires.
Figure 8 : Storm-1376 publie un contenu conspirationniste dans les jours qui suivent le déclenchement des incendies de forêt, affirmant que ces incendies étaient le résultat de tests effectués par le gouvernement américain d’une « arme météorologique ». Ces publications étaient souvent accompagnées de photos de grands incendies générées par l’intelligence artificielle.

2. Amplifier l’indignation face à l’élimination des eaux usées nucléaires par le Japon

Storm-1376 a lancé une vaste campagne de messages agressifs critiquant le gouvernement japonais après que le Japon a commencé à rejeter des eaux usées radioactives traitées dans l’océan Pacifique le 24 août 2023.9 Le contenu de Storm-1376 mettait en doute l’évaluation scientifique de l’Agence internationale de l’énergie atomique (AIEA) sur la sûreté de l’opération. Storm-1376 a envoyé des messages en plusieurs langues, notamment en japonais, en coréen et en anglais, sur les plateformes de réseaux sociaux. Certains contenus ont même accusé les États-Unis d’empoisonner délibérément d’autres pays pour maintenir une « hégémonie de l’eau ». Le contenu utilisé dans cette campagne porte les marques de la génération par l’IA.

Dans certains cas, Storm-1376 a recyclé du contenu utilisé par d’autres acteurs de l’écosystème de la propagande chinoise, notamment des influenceurs sur les réseaux sociaux affiliés aux médias d’État chinois.10 Les influenceurs et les actifs appartenant à Storm-1376 ont chargé trois vidéos identiques critiquant le rejet des eaux usées de Fukushima. De telles publications de différents acteurs utilisant un contenu identique et apparemment synchronisé, ce qui peut indiquer une coordination ou une orientation des messages, se sont multipliées tout au long de l’année 2023.

Image composite comprenant une illustration satirique de personnes, une capture d’écran d’une vidéo représentant Godzilla et un message sur un réseau social
Figure 9 : Mèmes et images générés par l’IA et critiquant l’évacuation des eaux usées de Fukushima, provenant de ressources secrètes des opérations d’influence chinoises (à gauche) et de représentants du gouvernement chinois (au centre). Les influenceurs affiliés aux médias d’État chinois ont également amplifié les messages du gouvernement critiquant l’élimination (à droite).

3. Attiser la discorde en Corée du Sud

En ce qui concerne le déversement des eaux usées de Fukushima, Storm-1376 s’est efforcé de cibler à la fois la Corée du Sud avec un contenu localisé amplifiant les protestations qui ont lieu dans le pays contre le déversement, et Japon avec un contenu critique contre son gouvernement. Cette campagne comprenait des centaines de publications en coréen sur plusieurs plateformes et sites web, y compris des sites de réseaux sociaux sud-coréens tels que Kakao Story, Tistory et Velog.io.11

Dans le cadre de cette campagne ciblée, Storm-1376 a activement amplifié les commentaires et les actions du leader du Minjoo et candidat malheureux à l’élection présidentielle de 2022, Lee Jaemyung (이재명, 李在明). M. Lee a critiqué l’action du Japon en la qualifiant de « terreur de l’eau contaminée » et d’équivalent d’une « deuxième guerre du Pacifique ». Il a également accusé le gouvernement actuel de la Corée du Sud d’être « complice en soutenant » la décision du Japon et a entamé une grève de la faim en signe de protestation qui a duré 24 jours.12

Bande dessinée en quatre planches traitant de la pollution de l’environnement et de ses répercussions sur la vie marine.
Figure 10 : Les mèmes en coréen de la plateforme de blogs sud-coréenne Tistory amplifient la discorde au sujet de l’évacuation des eaux usées de Fukushima.

4. Déraillement au Kentucky

Pendant les vacances de Thanksgiving, en novembre 2023, un train transportant du soufre fondu déraille dans le comté de Rockcastle, dans le Kentucky. Environ une semaine après le déraillement, Storm-1376 a lancé une campagne sur les réseaux sociaux qui a amplifié le déraillement, diffusé des théories conspirationnistes contre le gouvernement des États-Unis et mis en évidence les divisions politiques parmi les électeurs des États-Unis, encourageant en fin de compte la méfiance et la désillusion à l’égard du gouvernement des États-Unis. Storm-1376 a incité le public à se demander si le gouvernement des États-Unis n’avait pas provoqué le déraillement et « s’il ne cachait pas délibérément quelque chose ».13 Certains messages comparaient même le déraillement aux théories du complot du 11 septembre et de Pearl Harbor.14

Les faux-nez des opérations d’influences chinoises recherchent des points de vue sur des sujets politiques des États-Unis

Dans notre rapport de septembre 2023, nous avons souligné comment des comptes de réseaux sociaux affiliés au PCC ont commencé à se faire passer pour des électeurs des États-Unis en usurpant l’identité d’Américains de tout l’échiquier politique et en répondant aux commentaires d’utilisateurs authentiques.15 Ces efforts visant à influencer les élections des États-Unis de mi-mandat de 2022 constituent une première dans les opérations d’influence chinoises observées.

Le Centre d’analyse des menaces Microsoft (MTAC) a observé une augmentation légère mais constante du nombre de comptes de faux-nez supplémentaires qui, selon nos estimations, sont gérés par le PCC. Sur X (anciennement Twitter), ces comptes ont été créés dès 2012 ou 2013, mais n’ont commencé à publier sous leur identité actuelle qu’au début de l’année 2023, ce qui suggère que les comptes ont été acquis récemment ou ont été réaffectés. Ces faux-nez publient à la fois leurs propres vidéos, mèmes et infographies, ainsi que du contenu recyclé à partir d’autres comptes politiques de premier plan. Ces comptes publient presque exclusivement des messages sur des questions intérieures des États-Unis (consommation de drogue, politiques d’immigration, tensions raciales), mais ils commentent parfois des sujets intéressant la Chine, tels que le déversement des eaux usées de Fukushima ou les dissidents chinois.

Capture d’écran d’un ordinateur affichant un texte : Guerre et conflits, problèmes de drogue, relations raciales, etc.
Figure 11 : Tout au long de l’été et de l’automne, les faux-nez et personnalités d’origine chinoise ont souvent utilisé des visuels attrayants, parfois améliorés par l’IA générative, dans leurs messages lorsqu’ils discutaient de questions politiques et d’événements d’actualité aux États-Unis.
Outre des infographies ou des vidéos à caractère politique, ces comptes demandent souvent à leurs abonnés s’ils sont d’accord avec le sujet abordé. Certains de ces comptes ont publié des messages sur divers candidats à la présidentielle et ont ensuite demandé à leurs abonnés s’ils les soutenaient ou non. Cette tactique peut avoir pour but d’obtenir un engagement plus poussé, ou éventuellement de mieux comprendre comment les Américains perçoivent la politique de leur pays. Un plus grand nombre de comptes de ce type pourraient être utilisés pour améliorer la collecte de renseignements sur les profils démographiques des électeurs aux États-Unis.
Comparaison d’images sur un écran fractionné : à gauche, avion militaire décollant d’un porte-avions et à droite, groupe de personnes debout derrière une barrière
Figure 12 : De faux-nez d’origine chinoise sollicitent des avis sur des sujets politiques auprès d’autres utilisateurs sur X

Les acteurs nord-coréens de la cybermenace ont volé des centaines de millions de dollars en cryptomonnaie, mené des attaques contre la chaîne d’approvisionnement logicielle et ciblé ceux qu’ils estiment être leurs adversaires en matière de sécurité nationale en 2023. Ces opérations génèrent des revenus pour le gouvernement nord-coréen (en particulier pour son programme d’armement) et collectent des renseignements sur les États-Unis, la Corée du Sud et le Japon.16

Infographies montrant les secteurs et les pays les plus ciblés par les cybermenaces.
Figure 13 : Les secteurs et pays les plus ciblés par la Corée du Nord entre juin 2023 et janvier 2024, selon les données de notification des États-nations de la Veille des menaces Microsoft.

Les cyberacteurs nord-coréens pillent une quantité record de cryptomonnaie pour générer des revenus pour l’État.

Les Nations unies estiment que les cyberacteurs nord-coréens ont volé plus de 3 milliards USD en cryptomonnaie depuis 2017.17 Des vols totalisant entre 600 millions et 1 milliard USD ont eu lieu rien qu’en 2023. Ces fonds volés financeraient plus de la moitié du programme nucléaire et de missiles du pays, ce qui permet les essais et la prolifération d’armes en Corée du Nord malgré les sanctions.18 La Corée du Nord a procédé à de nombreux essais de missiles et exercices militaires au cours de l’année écoulée et a même lancé avec succès un satellite de reconnaissance militaire dans l’espace le 21 novembre 2023.19

Jade Sleet, Sapphire Sleet et Citrine Sleet, trois acteurs de la menace suivis par Microsoft, ont le plus ciblé les cryptomonnaies depuis juin 2023. Jade Sleet a organisé de grands vols de cryptomonnaie, tandis que Sapphire Sleet a mené des opérations de vol de cryptomonnaie plus petites mais plus fréquentes. Microsoft a attribué à Jade Sleet le vol d’au moins 35 millions USD d’une société de cryptomonnaie basée en Estonie au début du mois de juin 2023. Un mois plus tard, Microsoft a également attribué à Jade Sleet le vol de plus de 125 millions USD d’une plateforme de cryptomonnaie basée à Singapour. Jade Sleet a commencé à compromettre les casinos en ligne de cryptomonnaies en août 2023.

Sapphire Sleet a compromis de manière systématique de nombreux employés, y compris des cadres et des développeurs dans des organisations de cryptomonnaie, de capital-risque et dans d’autres organisations financières. Sapphire Sleet a également développé de nouvelles techniques, telles que l’envoi de fausses invitations à des réunions virtuelles contenant des liens vers un domaine pirate et l’enregistrement de faux sites web de recrutement. Après l’attaque de la chaîne d’approvisionnement 3CX de mars 2023, Citrine Sleet a compromis une entreprise de cryptomonnaie et de ressources numériques basée en Turquie. La victime hébergeait une version vulnérable de l’application 3CX liée à la compromission de la chaîne d’approvisionnement.

Les cyberacteurs nord-coréens menacent le secteur informatique avec des attaques par harponnage et contre la chaîne d’approvisionnement logicielle

Les acteurs nord-coréens ont également mené des attaques contre la chaîne d’approvisionnement logicielle des entreprises informatiques, ce qui leur a permis d’accéder à des clients en aval. Jade Sleet a utilisé des référentiels GitHub et des packages npm à des fins de nuisance dans le cadre d’une campagne de harponnage de piratage psychologique qui visait les employés d’organisations spécialisées dans les cryptomonnaies et les technologies.20 Les attaquants se sont fait passer pour des développeurs ou des recruteurs, ont invité les cibles à collaborer sur un référentiel GitHub et les ont convaincus de cloner et d’exécuter son contenu, qui contenait des packages npm malveillants. Diamond Sleet a compromis la chaîne d’approvisionnement d’une société informatique basée en Allemagne en août 2023 et a utilisé une application d’une société informatique basée à Taïwan pour mener une attaque contre la chaîne d’approvisionnement en novembre 2023. Diamond Sleet et Onyx Sleet ont tous deux exploité la vulnérabilité TeamCity CVE-2023-42793 en octobre 2023, qui permet à un attaquant d’exécuter un code à distance et de prendre le contrôle administratif du serveur. Diamond Sleet a utilisé cette technique pour compromettre des centaines de victimes dans divers secteurs aux États-Unis et dans des pays européens comme le Royaume-Uni, le Danemark, l’Irlande et l’Allemagne. Onyx Sleet a exploité cette même vulnérabilité pour compromettre au moins 10 victimes, dont un éditeur de logiciels en Australie et une agence gouvernementale en Norvège, et a utilisé des outils post-compromission pour exécuter des charges utiles supplémentaires.

Les cyberacteurs nord-coréens ont pris pour cible les États-Unis, la Corée du Sud et leurs alliés

Les acteurs de la menace nord-coréenne ont continué à cibler les adversaires qui, selon eux, menacent leur sécurité nationale. Cette cyberactivité illustre l’objectif géopolitique de la Corée du Nord de contrer l’alliance trilatérale entre les États-Unis, la Corée du Sud et le Japon. Les dirigeants des trois pays ont consolidé ce partenariat lors du sommet de Camp David en août 2023.21 Ruby Sleet et Onyx Sleet ont continué à cibler les organisations aérospatiales et de défense aux États-Unis et en Corée du Sud. Emerald Sleet a poursuivi sa campagne de reconnaissance et de harponnage ciblant les diplomates et les experts de la péninsule coréenne dans des gouvernements, des groupes de réflexion, des ONG, des médias et dans le secteur de l’enseignement. En juin 2023, Pearl Sleet a poursuivi ses opérations en ciblant les entités sud-coréennes qui entretiennent des relations avec des transfuges nord-coréens et des militants qui s’intéressent aux questions relatives aux droits de l’Homme en Corée du Nord. Microsoft estime que ces activités sont motivées par la collecte de renseignements.

Des acteurs nord-coréens implémentent des portes dérobées dans des logiciels légitimes

Les acteurs de la menace nord-coréens ont également utilisé des portes dérobées dans des logiciels légitimes, en exploitant les vulnérabilités des logiciels existants. Au cours du premier semestre 2023, Diamond Sleet a fréquemment utilisé des logiciels malveillants VNC pour compromettre les victimes. Diamond Sleet a également recommencé à utiliser des logiciels malveillants de lecture de PDF en juillet 2023. Ces techniques ont été analysées par la Veille des menaces Microsoft dans un billet de blog de septembre 2022.22 En décembre 2023, Ruby Sleet a vraisemblablement utilisé un programme d’installation sous forme de porte dérobée d’un programme de documents électroniques sud-coréen.

La Corée du Nord a utilisé des outils d’intelligence artificielle pour mener des cyberactivités

Les acteurs de la menace nord-coréens s’adaptent à l’ère de l’IA. Ils apprennent à utiliser des outils optimisés par des grands modèles de langage d’IA pour des opérations plus efficaces et efficientes. Par exemple, Microsoft et OpenAI ont observé qu’Emerald Sleet utilisait des grands modèles de langage pour améliorer les campagnes de harponnage visant les experts de la péninsule coréenne.23 Emerald Sleet a utilisé des grands modèles de langage pour rechercher des vulnérabilités et mener des opérations de reconnaissance sur des organisations et des experts spécialistes de la Corée du Nord. Emerald Sleet a également employé des grands modèles de langage pour résoudre des problèmes techniques, effectuer des tâches de script de base et rédiger le contenu des messages de harponnage. Microsoft s’est associé à OpenAI pour désactiver les comptes et les ressources associés à Emerald Sleet.

La Chine célébrera le 75e anniversaire de la fondation de la République populaire de Chine en octobre, et la Corée du Nord continuera à développer ses principaux programmes d’armement avancés. Pendant ce temps, alors que les populations de l’Inde, de la Corée du Sud et des États-Unis se rendent aux urnes, il est probable que les cyberacteurs et les acteurs d’influence chinois, et dans une certaine mesure les cyberacteurs nord-coréens, s’efforcent de cibler ces élections.

La Chine va, au minimum, créer et amplifier du contenu généré par l’IA qui favorise ses positions dans ces élections très médiatisées. Si l’impact de ce type de contenu sur le public reste faible, l’expérimentation croissante de la Chine dans le développement de mèmes, de vidéos et de contenus audio se poursuivra et pourrait s’avérer efficace sur le long terme. Alors que les cyberacteurs chinois mènent depuis longtemps des opérations de reconnaissance des institutions politiques des États-Unis, nous nous attendons à voir des acteurs d’influence interagir avec des Américains à des fins d’engagement et de recherche éventuelle de perspectives sur la politique des États-Unis.

Enfin, alors que la Corée du Nord s’engage dans de nouvelles politiques gouvernementales et poursuit des plans ambitieux d’essais d’armes, nous pouvons nous attendre à des vols de cryptomonnaies de plus en plus sophistiqués et à des attaques de la chaîne d’approvisionnement ciblant le secteur de la défense, servant à la fois à acheminer de l’argent vers le régime et à faciliter le développement de nouvelles capacités militaires.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1er janvier 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」? », 11 janvier 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    « Une probable campagne de « Spamouflage » de la Chine cible des dizaines de députés canadiens dans une campagne de désinformation », octobre 2023,

  8. [8]
  9. [9]

    De nombreuses sources ont documenté la campagne de propagande menée par le gouvernement chinois pour susciter l’indignation de la communauté internationale face à la décision du Japon de se débarrasser des eaux usées provenant de l’accident nucléaire de Fukushima Daiichi en 2011, voir : Les campagnes de désinformations de la Chine alimentent la colère concernant le déversement des eaux de Fukushima », 31 août 2023« Le Japon pris pour cible par la propagande chinoise et une campagne en ligne secrète », 8 juin 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Opérations de cyberinfluence État-nation Rapports sur les États-nations Piratage psychologique Acteurs de la menace

Articles connexes

Les menaces numériques émanant de l’Asie de l’Est prennent de l’ampleur et gagnent en efficacité

Approfondissez le sujet et découvrez les tendances émergentes dans le paysage des menaces en constante évolution en Asie de l’Est. Tandis que la Chine mène des cyberattaques et des opérations d’influence de grande envergure, les acteurs de cybermenaces en Corée du Nord font preuve d’une sophistication grandissante.
En savoir plus

Elle se nourrit de l’économie de la confiance : la fraude par piratage psychologique

Explorez un paysage numérique en pleine évolution où la confiance est à la fois une monnaie et une vulnérabilité. Découvrez les tactiques de fraude par piratage psychologique les plus utilisées par les cyberattaquants et passez en revue les stratégies qui peuvent vous aider à identifier et à déjouer les menaces par piratage psychologique conçues pour manipuler la nature humaine.
En savoir plus

L’Iran multiplie les opérations de cyberinfluence pour soutenir le Hamas

Découvrez en détail les opérations de cyberinfluence de l’Iran en soutien au Hamas en Israël. Découvrez comment les opérations ont progressé au cours des différentes phases de la guerre et observez les quatre tactiques, techniques et procédures (TTP) d’influence que privilégie l’Iran.
En savoir plus

Suivez la Sécurité Microsoft