Trace Id is missing

Target yang sama, playbook yang baru: Pelaku ancaman Asia Timur menggunakan metode unik

Unduh
Bagikan
Ilustrasi abstrak kapal angkatan laut, dengan grafik lingkaran merah dan elemen jala hitam di atas latar belakang merah muda.

Microsoft telah memantau beberapa tren cyber dan tren pengaruh penting dari Tiongkok dan Korea Utara sejak bulan Juni 2023, yang tidak hanya menunjukkan peningkatan intensitas terhadap target lazim, namun juga memperlihatkan upaya penggunaan teknik pengaruh yang lebih canggih untuk meraih tujuan mereka.

Pada umumnya, pelaku cyber Tiongkok memilih tiga area target selama tujuh bulan terakhir:

  • Salah satu kelompok pelaku Tiongkok secara ekstensif menarget entitas di Kepulauan Pasifik Selatan.
  • Kelompok aktivitas Tiongkok yang kedua meneruskan rentetan serangan cyber terhadap musuh regional di kawasan Laut Tiongkok Selatan.
  • Sementara itu, kelompok pelaku Tiongkok yang ketiga menyusupi basis industri pertahanan AS.

Pelaku pengaruh Tiongkok tidak memperluas cakupan geografis target mereka, melainkan mengasah teknik dan bereksperimen dengan media baru. Kampanye pengaruh Tiongkok terus menyempurnakan konten yang dibuat atau ditingkatkan dengan AI. Para pelaku pengaruh di balik kampanye ini memperlihatkan kesediaannya untuk mengamplifikasi media buatan AI yang mendatangkan keuntungan bagi narasi strategis mereka, di samping membuat konten video, meme, dan audio mereka sendiri. Taktik seperti ini telah digunakan di dalam kampanye yang menyulut perpecahan di Amerika Serikat dan memperkeruh pertikaian di kawasan Asia-Pasifik—termasuk Taiwan, Jepang, dan Korea Selatan. Kampanye ini dikumandangkan hingga ke berbagai tingkat tanpa formula tunggal yang menghasilkan keterlibatan konsisten dari audiens.

Pelaku cyber Korea Utara menjadi berita utama akibat peningkatan serangan rantai pasokan perangkat lunak dan perampokan mata uang kripto selama setahun terakhir. Kampanye spear-phishing strategis, yang menarget peneliti yang mempelajari Semenanjung Korea, masih senantiasa menjadi tren. Namun, pelaku ancaman Korea Utara tampaknya lebih banyak menggunakan perangkat lunak yang sah untuk menyusupi lebih banyak korban.

Gingham Typhoon menarget pemerintah, TI, dan entitas multinasional di Kepulauan Pasifik Selatan

Selama musim panas 2023, Microsoft Threat Intelligence memantau aktivitas ekstensif oleh grup spionase Gingham Typhoon yang berbasis di Tiongkok. Mereka menarget hampir setiap negara di Kepulauan Pasifik Selatan. Gingham Typhoon adalah pelaku paling aktif di kawasan ini, menggempur organisasi internasional, entitas pemerintah, dan sektor TI dengan kampanye pengelabuan yang kompleks. Korbannya juga termasuk orang-orang yang memberikan kritik tegas terhadap pemerintah Tiongkok.

Sekutu diplomatik Tiongkok yang menjadi korban dari aktivitas Gingham Typhoon belum lama ini termasuk kantor eksekutif di pemerintahan, departemen terkait perdagangan, penyedia layanan internet, serta entitas transportasi.

Memanasnya persaingan geopolitik dan diplomatik di kawasan tersebut mungkin saja menjadi motif di balik aktivitas cyber yang ofensif ini. Tiongkok mengupayakan kemitraan strategis dengan negara-negara di Kepulauan Pasifik Selatan untuk memperluas ikatan ekonomi, sekaligus menjadi perantara dalam perjanjian diplomatik dan keamanan. Spionase cyber Tiongkok di kawasan ini ikut membuntuti mitra ekonomi.

Misalnya, pelaku Tiongkok yang terlibat di dalam penargetan berskala besar terhadap organisasi multinasional di Papua Nugini, yang telah lama menjadi mitra diplomatik dan memperoleh manfaat dari sejumlah proyek Inisiatif Sabuk dan Jalan (Belt and Road Initiative/BRI), termasuk pembangunan jalan raya utama penghubung gedung pemerintah Papua Nugini ke jalan utama ibu kota.1

Peta yang menggambarkan frekuensi ancaman cyber bertarget di negara-negara kepulauan Pasifik, dengan lingkaran yang lebih luas
Gambar 1: Peristiwa yang teramati dari Gingham Typhoon pada Juni 2023-Januari 2024. Aktivitas ini memperlihatkan bahwa mereka terus fokus menargetkan negara-negara di Kepulauan Pasifik Selatan. Sebagian besar dari penargetan ini masih berlangsung, yang mencerminkan bahwa wilayah ini adalah target jangka panjang. Lokasi geografis dan diameter simbologi untuk representasi.

Pelaku ancaman Tiongkok mempertahankan fokus mereka pada Laut Tiongkok Selatan di tengah latihan militer Barat

Pelaku ancaman yang berbasis di Tiongkok terus menarget entitas yang terkait dengan kepentingan ekonomi dan militer Tiongkok di Laut Tiongkok Selatan dan sekitarnya. Para pelaku ini secara oportunis menyusupi pemerintah dan korban telekomunikasi di Perhimpunan Bangsa-Bangsa Asia Tenggara (Association of Southeast Asian Nations /ASEAN). Tampaknya, pelaku cyber yang terafiliasi dengan negara Tiongkok khususnya tertarik pada target yang terkait dengan sejumlah besar penyelenggaraan pelatihan militer AS di kawasan tersebut. Pada bulan Juni 2023, Raspberry Typhoon, grup aktivitas negara-bangsa yang berbasis di Tiongkok, berhasil menarget entitas militer dan eksekutif di Indonesia serta sistem maritim Malaysia, beberapa minggu sebelum diselenggarakannya latihan angkatan laut multilateral langka yang melibatkan Indonesia, Tiongkok, dan Amerika Serikat.

Demikian pula, entitas terkait latihan militer AS-Filipina telah menjadi target dari pelaku cyber Tiongkok lainnya, Flax Typhoon. Sementara itu, Granite Typhoon, pelaku ancaman lain yang juga berbasis di Tiongkok, menitikberatkan pada penyusupan entitas telekomunikasi di kawasan tersebut sepanjang periode ini, dengan korban yang berlokasi di Indonesia, Malaysia, Filipina, Kamboja, dan Taiwan.

Semenjak publikasi blog Microsoft tentang Flax Typhoon, Microsoft telah memantau target baru Flax Typhoon di Filipina, Hong Kong, India, dan Amerika Serikat pada awal musim gugur dan musim dingin 2023.2 Pelaku ini juga kerap menyerang sektor telekomunikasi dan sering kali menyebabkan banyak dampak hilir.

Peta yang menampilkan data Microsoft Threat Intelligence pada wilayah yang paling sering menjadi target di Asia,
Gambar 2: Peristiwa teramati yang menargetkan negara-negara yang berada atau di sekitar Laut Tiongkok Selatan oleh Flax Typhoon, Granite Typhoon, atau Raspberry Typhoon. Lokasi geografis dan diameter simbologi untuk representasi.

Nylon Typhoon menyusupi entitas urusan luar negeri di seluruh dunia

Pelaku ancaman yang berbasis di Tiongkok, Nylon Typhoon, melanjutkan praktik jangka panjang mereka, yakni menarget entitas urusan luar negeri di negara-negara di seluruh dunia. Pada rentang di antara bulan Juni dan Desember 2023, Microsoft memantau Nylon Typhoon di entitas pemerintah di Amerika Selatan, termasuk di Brasil, Guatemala, Kosta Rika, dan Peru. Pelaku ancaman ini juga terpantau di Eropa, menyusupi entitas pemerintah di Portugal, Prancis, Spanyol, Italia, dan Inggris Raya. Meskipun sebagian besar target di Eropa adalah entitas pemerintah, beberapa perusahaan TI juga disusupi. Tujuan dari penargetan ini adalah pengumpulan kecerdasan.

Grup ancaman Tiongkok menarget entitas militer dan infrastruktur vital di Amerika Serikat

Terakhir, aktivitas Storm-0062 melonjak selama musim gugur dan musim dingin 2023. Sejumlah besar aktivitas menyusupi entitas pemerintah AS terkait pertahanan, termasuk kontraktor penyedia layanan teknik teknis seputar dirgantara, pertahanan, dan sumber daya alam yang vital bagi keamanan nasional AS. Selain itu, Storm-0062 berulang kali menarget entitas militer di Amerika Serikat; namun, tidak jelas apakah grup tersebut berhasil dalam upaya penyusupan mereka.

Basis industri pertahanan AS juga masih menjadi target tetap incaran Volt Typhoon. Pada bulan Mei 2023, Microsoft mengatribusikan serangan terhadap organisasi infrastruktur penting AS kepada Volt Typhoon, pelaku negara-bangsa yang berbasis di Tiongkok. Volt Typhoon memperoleh akses ke jaringan organisasi dengan teknik living-off-the-land dan aktivitas hands-on-keyboard.3 Dengan taktik ini, Volt Typhoon dapat secara diam-diam mempertahankan akses yang tidak sah ke jaringan target. Mulai dari bulan Juni 2023 hingga Desember 2023, Volt Typhoon terus menarget infrastruktur vital, dan juga mengupayakan pengembangan sumber daya dengan menyusupi perangkat kantor kecil dan kantor rumah (SOHO) di seluruh Amerika Serikat.

Di dalam laporan bulan September 2023, kami mengurai detail tentang bagaimana aset operasi pengaruh (IO) Tiongkok mulai menggunakan AI generatif untuk membuat konten visual yang rapi dan menarik. Sepanjang musim panas, Microsoft Threat Intelligence terus mengidentifikasi meme buatan AI yang menarget Amerika Serikat, yang mengamplifikasi isu kontroversial dalam negeri dan mengkritik administrasi saat ini. IO terkait Tiongkok terus menggunakan media yang disempurnakan dan dibuat oleh AI (yang selanjutnya disebut dengan “ konten AI”), di dalam kampanye pengaruh dengan volume dan frekuensi yang semakin tinggi sepanjang tahun.

Terjadinya lonjakan AI (namun gagal memberikan pengaruh)

Pelaku yang paling produktif menggunakan konten AI adalah Storm-1376—julukan dari Microsoft untuk pelaku terkait Partai Komunis Tiongkok (Chinese Communist Party/CCP), yang umumnya dikenal dengan nama “Spamouflage” atau “Dragonbridge.” Sejak musim dingin, pelaku lain terkait CCP mulai semakin banyak menggunakan konten AI untuk melipatgandakan IO online. Hal tersebut termasuk peningkatan signifikan pada konten yang menampilkan tokoh politik Taiwan menjelang pemilihan presiden dan legislatif pada tanggal 13 Januari. Untuk pertama kalinya, Microsoft Threat Intelligence menyaksikan pelaku negara-bangsa yang menggunakan konten AI untuk mencoba memengaruhi pemilu di luar negeri.

Audio yang dibuat oleh AI: Pada hari pemilihan di Taiwan, Storm-1376 memposting klip audio yang diduga buatan AI, memuat pemilik Foxconn, Terry Gou, kandidat Partai independen di pemilihan presiden Taiwan, yang mengundurkan diri dari ajang tersebut pada bulan November 2023. Rekaman audio tersebut menggambarkan suara Gou yang mendukung kandidat lain di pemilihan presiden. Suara Gou di rekaman ini kemungkinan besar dibuat oleh AI, karena Gou tidak membuat pernyataan seperti itu. YouTube dengan cepat menindak konten ini sebelum sempat menjangkau pengguna dalam jumlah besar. Video ini muncul beberapa hari setelah surat palsu Terry Gou yang mendukung kandidat yang sama beredar online. Sejumlah organisasi pemeriksa fakta terkemuka dari Taiwan membantah surat tersebut. Kampanye Gou juga menyatakan, bahwa surat itu palsu dan mereka akan merespons dengan mengambil tindakan hukum.4 Gou tidak secara formal mendukung kandidat presiden mana pun di pemilihan tersebut.
Seorang pria berjas berbicara di podium dengan teks berbahasa Tionghoa dan grafik bentuk gelombang audio di latar depan.
Gambar 3: Video yang dipublikasikan oleh Storm-1376 menggunakan rekaman suara Terry Gou yang dibuat oleh AI untuk membuat dia tampak seolah-olah mendukung kandidat lain.
Pembawa berita yang dibuat oleh AI: Pembawa berita AI yang dibuat oleh perusahaan teknologi pihak ketiga, yang menggunakan alat Capcut milik perusahaan teknologi Tiongkok, ByteDance, muncul di berbagai kampanye, menampilkan pejabat Taiwan5 serta pesan tentang Myanmar. Storm-1376 menggunakan pembawa berita buatan AI semacam ini setidaknya sejak Februari 2023,6 tetapi volume konten yang menampilkan pembawa berita tersebut telah meningkat di dalam beberapa bulan terakhir.
Kolase kendaraan militer
Gambar 4: Storm-1376 memposting video dalam bahasa Mandarin dan Inggris, yang menuduh Amerika Serikat dan India bertanggung jawab atas kerusuhan di Myanmar. Anchor buatan AI yang sama juga digunakan di beberapa video ini.
Video yang disempurnakan oleh AI: Seperti yang diungkapkan oleh pemerintah Kanada dan peneliti lainnya, video-video yang disempurnakan oleh AI telah menggunakan gambar yang menyerupai seorang pembelot Tiongkok yang berbasis di Kanada, pembelot ini berkampanye menarget anggota parlemen Kanada.7 Video tersebut hanya salah satu bagian dari kampanye multiplatform yang memuat pelecehan politisi Kanada di akun media sosial mereka, menampilkan gambaran palsu seolah pembelot tersebut memberikan pernyataan menghasut tentang pemerintah Kanada. Sebelumnya, video serupa yang disempurnakan oleh AI telah digunakan untuk melawan pembelot ini.
Seseorang duduk di meja
Gambar 5: Video deepfake yang dibuat oleh AI berisi pernyataan yang menghina agama dari para pembangkang. Meskipun menggunakan taktik yang serupa dengan kampanye yang ada di Kanada, video ini tampaknya tidak berkaitan dalam hal konten.
Meme yang dibuat oleh AI: Pada bulan Desember, Storm-1376 mempromosikan serangkaian meme buatan AI tentang William Lai, kandidat presiden dari Partai Progresif Demokratik (Democratic Progressive Party/DPP) di Taiwan masa itu, dengan tema hitung mundur bertuliskan “X hari” untuk melengserkan kekuasaan DPP.
Representasi grafis dengan dua gambar bersebelahan, satu menampilkan gambar dengan tanda x merah dan gambar satunya dengan gambar sama dan tanpa tanda,
Gambar 6: Meme yang dibuat oleh AI menuduh William Lai, calon presiden dari DPP, menggelapkan dana dari Program Pembangunan Infrastruktur Berwawasan ke Depan Taiwan. Meme ini menampilkan karakter Tionghoa sederhana (digunakan di RRT, bukan di Taiwan) dan merupakan bagian dari rangkaian harian dari kampanye “hitungan mundur untuk menjatuhkan DPP dari kekuasaan”.
Infografik garis waktu yang menunjukkan pengaruh konten buatan AI terhadap pemilu Taiwan dari Desember 2023 hingga Januari 2024.
Gambar 7: Garis waktu konten yang dibuat dan ditingkatkan oleh AI yang muncul menjelang pemilihan Presiden dan Parlemen Taiwan pada bulan Januari 2024. Storm-1376 memodifikasi beberapa konten ini dan bertanggung jawab atas pembuatan konten dalam dua kampanye.

Storm-1376 terus melancarkan pesan reaktif, terkadang dengan narasi konspirasi

Storm-1376—pelaku yang pengaruhnya tersebar di 175 situs web dan dalam 58 bahasa—terus menyusun kampanye berisi pesan reaktif dengan frekuensi intens. Kampanye ini membahas peristiwa geopolitik tingkat tinggi, terutama kampanye yang menggambarkan Amerika Serikat pada posisi buruk, atau kampanye yang menyokong kepentingan CCP di kawasan Asia Pasifik. Sejak laporan terakhir kami pada bulan September 2023, kampanye ini telah berkembang di beberapa segi penting, termasuk penambahan foto buatan AI untuk menyesatkan audiens, konten konspirasi yang menyulut reaksi—terutama konten yang menentang pemerintah AS—serta menarget populasi baru seperti Korea Selatan dengan konten yang dilokalisasi.

1. Mengklaim bahwa “senjata cuaca” pemerintah AS mengakibatkan kebakaran hutan Hawaii

Agustus 2023, ketika kebakaran hutan berkobar di pesisir barat laut Maui, Hawaii, Storm-1376 memanfaatkan kesempatan tersebut untuk menebar narasi konspirasi di sejumlah platform media sosial. Posting ini menuduh, bahwa pemerintah AS sengaja menyalakan api untuk menguji “senjata cuaca” tingkat militer. Selain memposting teks dalam setidaknya 31 bahasa di banyak situs web dan platform, Storm-1376 juga menggunakan gambar buatan AI, memuat pemukiman dan jalan pesisir yang terbakar untuk membuat konten menjadi lebih menarik.8

Gambar komposit dengan cap "palsu" di atas foto kebakaran yang dramatis.
Gambar 8: Storm-1376 memposting konten konspirasi dalam beberapa hari setelah terjadinya kebakaran hutan, yang menuduh kebakaran tersebut adalah hasil pengujian “senjata meteorologi” oleh pemerintah AS. Postingan ini sering kali disertai dengan foto kebakaran besar yang dibuat oleh AI.

2. Mengamplifikasi kemarahan atas pembuangan air limbah nuklir milik Jepang

Storm-1376 meluncurkan kampanye pesan agresif berskala besar yang mengkritik pemerintah Jepang setelah Jepang mulai membuang air limbah radioaktif olahan ke Samudra Pasifik pada tanggal 24 Agustus 2023.9 ​​Konten Storm-1376 menimbulkan keraguan perihal keamanan pembuangan tersebut dalam penilaian ilmiah oleh Badan Energi Atom Internasional (International Atomic Energy Agency/IAEA). Storm-1376 mengirimkan pesan tanpa pandang bulu ke seluruh platform media sosial di dalam berbagai bahasa, termasuk Jepang, Korea, dan Inggris. Beberapa konten bahkan menuduh Amerika Serikat sengaja meracuni negara lain untuk mempertahankan “hegemoni air.” Konten yang digunakan di dalam kampanye ini menampilkan ciri khas bahwa telah dibuat dengan AI.

Di dalam beberapa kasus, Storm-1376 mendaur ulang konten yang digunakan oleh pelaku lain di ekosistem propaganda Tiongkok, termasuk influencer media sosial yang terafiliasi dengan media negara Tiongkok.10 Influencer dan aset milik Storm-1376 mengunggah tiga video identik yang mengkritik pelepasan air limbah Fukushima. Posting semacam ini telah meningkat sepanjang tahun 2023, berasal dari berbagai pelaku yang menggunakan konten identik dan tampaknya terjadi beriring-iringan, serta mungkin mengindikasikan adanya koordinasi atau arah tujuan pesan.

Gambar gabungan yang menampilkan ilustrasi satir manusia, cuplikan layar video yang menggambarkan godzilla, dan postingan media sosial
Gambar 9: Meme dan gambar yang dibuat oleh AI yang mengkritik pembuangan air limbah Fukushima dari aset rahasia IO Tiongkok (kiri) dan pejabat pemerintah Tiongkok (tengah). Influencer yang berafiliasi dengan media milik pemerintah Tiongkok juga menguatkan pesan-pesan pemerintah yang mengkritik pembuangan limbah tersebut (kanan).

3. Menyulut perselisihan di Korea Selatan

Terkait pembuangan air limbah Fukushima, Storm-1376 melakukan upaya terkoordinasi untuk menarget Korea Selatan dengan konten terlokalisasi, yang mengamplifikasi protes di negara tersebut terhadap pembuangan ini, serta konten yang mengkritik pemerintah Jepang. Kampanye meliputi ratusan posting berbahasa Korea di sejumlah platform dan situs web, termasuk situs media sosial Korea Selatan seperti Kakao Story, Tistory, dan Velog.io.11

Sebagai bagian dari kampanye bertarget, Storm-1376 secara aktif mengamplifikasi komentar dan tindakan pemimpin Minjoo serta kandidat presiden yang gagal pada tahun 2022, Lee Jaemyung (이재명, 李在明). Lee mengkritik pergerakan Jepang sebagai “teror air yang terkontaminasi” dan setara dengan “Perang Pasifik Kedua.” Dia juga menuduh, bahwa pemerintah Korea Selatan saat ini telah menjadi “kaki tangan pendukung” bagi keputusan Jepang, dia memulai aksi protes mogok makan yang berlangsung selama 24 hari.12

Komik strip empat panel membahas pencemaran lingkungan dan dampaknya terhadap kehidupan laut.
Gambar 10: Meme berbahasa Korea dari Tistory, platform blog Korea Selatan, menguatkan perselisihan terkait pembuangan air limbah Fukushima.

4. Tergelincirnya kereta di Kentucky

Saat liburan Thanksgiving pada bulan November 2023, sebuah kereta yang membawa sulfur cair tergelincir di Rockcastle County, Kentucky. Sekitar satu minggu setelah kereta tergelincir, Storm-1376 meluncurkan kampanye media sosial yang mengamplifikasi kejadian tersebut, menyebarkan teori konspirasi anti-pemerintah AS dan menyoroti perpecahan politik di kalangan pemilih AS, yang pada akhirnya menimbulkan ketidakpercayaan dan kekecewaan terhadap pemerintah AS. Storm-1376 mendesak audiens untuk mempertimbangkan, apakah mungkin bahwa pemerintah AS menyebabkan kereta itu tergelincir dan “sengaja menyembunyikan sesuatu.”13 Beberapa pesan bahkan menyama-nyamakan tergelincirnya kereta tersebut dengan teori terselubung di balik Pearl Harbor dan 9/11.14

Akun palsu (sockpuppet) IO Tiongkok berupaya menemukan perspektif mengenai topik politik AS

Di dalam laporan bulan September 2023, kami menyoroti bagaimana akun media sosial yang terafiliasi dengan CCP mulai menyamar sebagai pemilih AS, dengan cara berpura-pura menjadi orang Amerika Serikat di seluruh spektrum politik dan merespons komentar pengguna asli.15 Upaya memengaruhi pemilu paruh waktu AS tahun 2022 ini menandai terpantaunya IO Tiongkok untuk pertama kalinya.

Pusat Analisis Ancaman Microsoft (Microsoft Threat Analysis Center/MTAC) telah memantau peningkatan jumlah sockpuppet tambahan yang terhitung kecil namun stabil—kami menilai dengan cukup yakin, bahwa akun tersebut ditunggangi oleh CCP. Akun-akun ini sudah dibuat sejak tahun 2012 atau 2013 di X (sebelumnya bernama Twitter), tetapi baru mulai memposting dengan persona mereka saat ini pada awal tahun 2023. Ini menandakan, bahwa akun baru saja diakuisisi atau telah dialihfungsikan. Sockpuppet ini memposting video, meme, dan infografis yang memang asli diproduksi, serta konten daur ulang dari akun politik tersohor lain. Akun ini hampir secara eksklusif memposting isu dalam negeri AS—berkisar mulai dari penggunaan narkoba di Amerika Serikat, kebijakan imigrasi, dan ketegangan rasial—namun terkadang mengomentari topik yang diminati oleh Tiongkok—seperti pembuangan air limbah Fukushima atau pembelot Tiongkok.

Cuplikan layar komputer dengan teks Perang dan konflik, masalah narkoba, hubungan ras, dll.
Gambar 11: Sepanjang musim panas dan musim gugur, “sockpuppet” dan persona Tiongkok sering menggunakan media visual yang menarik (terkadang ditingkatkan melalui AI generatif) dalam postingan mereka ketika membahas isu-isu politik AS serta peristiwa terkini.
Selain infografis atau video bermotif politik, akun ini kerap menanyai perngikutnya perihal kesetujuan mereka tentang topik yang diberikan. Beberapa akun memposting tentang berbagai kandidat presiden dan lantas meminta pengikutnya untuk berkomentar, apakah mereka mendukung kandidat atau tidak. Taktik ini mungkin bertujuan untuk memperoleh keterlibatan lebih jauh, atau mendapatkan wawasan mengenai pandangan masyarakat Amerika Serikat tentang politik mereka. Ada banyak akun semacam ini yang mungkin beroperasi untuk mendongkrak pengumpulan kecerdasan seputar demografi pemilih utama di Amerika Serikat.
Perbandingan gambar layar terpisah: di sebelah kiri adalah jet militer yang lepas landas dari kapal induk dan di sebelah kanan adalah sekelompok orang yang duduk di belakang penghalang
Gambar 12: “Sockpuppet” Tiongkok meminta pendapat tentang topik politik dari pengguna lain di X

Pelaku ancaman cyber Korea Utara mencuri mata uang kripto senilai ratusan juta dolar, melancarkan serangan terhadap rantai pasokan perangkat lunak, dan menarget pihak yang mereka anggap sebagai musuh keamanan nasional pada tahun 2023. Operasi mereka menghasilkan pendapatan bagi pemerintah Korea Utara, khususnya program persenjataannya. Operasi ini juga mengumpulkan kecerdasan mengenai Amerika Serikat, Korea Selatan, dan Jepang.16

Infografis menunjukkan sektor dan negara yang paling sering menjadi sasaran ancaman cyber.
Gambar 13: Sektor dan negara yang paling sering menjadi sasaran Korea Utara dari Juni 2023 hingga Januari 2024 berdasarkan data pemberitahuan negara bangsa Microsoft Threat Intelligence.

Pelaku cyber Korea Utara menjarah mata uang kripto dalam jumlah yang memecahkan rekor untuk menghasilkan pendapatan bagi negara.

Perserikatan Bangsa-Bangsa memperkirakan, bahwa pelaku cyber Korea Utara telah mencuri mata uang kripto senilai lebih dari USD$3 miliar sejak tahun 2017.17 Pada tahun 2023 saja, telah terjadi perampokan dengan nilai total USD$600 juta hingga USD$1 miliar. Dana curian ini dilaporkan membiayai lebih dari separuh program nuklir dan misil negara tersebut, sehingga Korea Utara dapat melakukan proliferasi dan pengujian senjata meskipun ada sanksi.18 Korea Utara melaksanakan banyak uji coba misil serta latihan militer selama setahun terakhir, dan bahkan berhasil meluncurkan satelit pengintai militer ke luar angkasa pada tanggal 21 November 2023.19

Tiga pelaku ancaman yang dilacak oleh Microsoft— Jade Sleet, Sapphire Sleet, dan Citrine Sleet— menempatkan fokus utama target mereka pada mata uang kripto sejak bulan Juni 2023. Jade Sleet merampok mata uang kripto dalam skala besar, sementara Sapphire Sleet menyelenggarakan operasi pencurian mata uang kripto yang berjumlah lebih kecil namun lebih sering. Pada awal Juni 2023, Microsoft mengatribusikan kepada Jade Sleet perihal pencurian perusahaan mata uang kripto yang berbasis di Estonia dan bernilai setidaknya USD$35 juta. Sebulan kemudian, Microsoft juga mengatribusikan kepada Jade Sleet perihal perampokan platform mata uang kripto yang berbasis di Singapura dengan nilai lebih dari USD$125 juta. Jade Sleet mulai menyusupi kasino mata uang kripto online pada bulan Agustus 2023.

Sapphire Sleet secara konsisten menyusupi banyak karyawan, termasuk para eksekutif dan pengembang mata uang kripto, modal ventura, dan organisasi finansial lainnya. Sapphire Sleet juga mengembangkan teknik baru, seperti mengirimkan undangan pertemuan virtual palsu yang memuat tautan ke domain penyerang dan memasukkan situs web perekrutan pekerjaan palsu. Citrine Sleet menindaklanjuti serangan rantai pasokan 3CX pada bulan Maret 2023, dengan menyusupi perusahaan aset digital dan mata uang kripto hilir yang berbasis di Türkiye. Korban menghosting versi aplikasi 3CX yang rentan dan terhubung ke penyusupan rantai pasokan.

Pelaku cyber Korea Utara mengancam sektor TI dengan serangan rantai pasokan perangkat lunak dan spear-phishing

Pelaku ancaman Korea Utara juga melancarkan serangan terhadap rantai pasokan perangkat lunak di perusahaan TI, sehingga akses ke pelanggan hilir berhasil diperoleh. Jade Sleet memakai repo GitHub dan menggunakan paket npm sebagai senjata mereka, menyelenggarakan kampanye spear-phishing rekayasa sosial yang menarget karyawan organisasi teknologi dan mata uang kripto.20 Penyerang menyamar sebagai pengembang atau perekrut, mengundang target untuk berkolaborasi di dalam repositori GitHub, serta meyakinkan target untuk mengkloning dan mengeksekusi kontennya yang memuat paket npm berbahaya. Diamond Sleet melakukan penyusupan rantai pasokan terhadap perusahaan TI yang berbasis di Jerman pada bulan Agustus 2023, mereka juga menggunakan aplikasi dari perusahaan TI yang berbasis di Taiwan untuk menyerang rantai pasokan pada bulan November 2023. Diamond Sleet dan Onyx Sleet—keduanya mengeksploitasi kerentanan TeamCity CVE-2023-42793 pada bulan Oktober 2023, sehingga penyerang dapat melancarkan eksekusi kode jarak jauh dan memperoleh kendali administratif atas server. Diamond Sleet menggunakan teknik ini untuk menyusupi ratusan korban di berbagai industri di Amerika Serikat dan negara-negara Eropa, termasuk Inggris Raya, Denmark, Irlandia, dan Jerman. Onyx Sleet mengeksploitasi kerentanan yang sama untuk menyusupi setidaknya 10 korban—termasuk penyedia perangkat lunak di Australia dan lembaga pemerintah di Norwegia—dan memanfaatkan alat pascapenyusupan untuk mengeksekusi payload tambahan.

Pelaku cyber Korea Utara menarget Amerika Serikat, Korea Selatan, dan sekutu mereka

Pelaku ancaman di Korea Utara terus menarget pihak yang mereka anggap sebagai musuh keamanan nasional. Aktivitas cyber ini memperlihatkan tujuan geopolitik Korea Utara dalam melawan aliansi trilateral antara Amerika Serikat, Korea Selatan, dan Jepang. Para pemimpin dari ketiga negara tersebut telah memperkuat kemitraan ini selama KTT Camp David pada bulan Agustus 2023.21 Kecenderungan Ruby Sleet dan Onyx Sleet tetap sama, yakni menarget organisasi dirgantara dan pertahanan di Amerika Serikat dan Korea Selatan. Emerald Sleet mempertahankan kampanye spear-phising dan pengintaian, menarget diplomat dan ahli Semenanjung Korea di pemerintahan, lembaga pemikir/LSM, media, dan pendidikan. Pearl Sleet melanjutkan operasinya, menarget entitas Korea Selatan yang terlibat dengan pengkhianat Korea Utara serta aktivis yang berfokus pada masalah HAM Korea Utara pada bulan Juni 2023. Microsoft menilai, bahwa motif di balik aktivitas ini adalah pengumpulan kecerdasan.

Pelaku Korea Utara mengimplementasikan pintu belakang (backdoor) di dalam perangkat lunak sah

Pelaku ancaman di Korea Utara juga memanfaatkan pintu belakang (backdoor) ke perangkat lunak, mengambil keuntungan dari kerentanan perangkat lunak yang telah ada. Pada paruh pertama tahun 2023, Diamond Sleet kerap menggunakan program jahat VNC yang dimanfaatkan untuk menyusupi korban. Sebagai senjatanya, Diamond Sleet juga masih memakai program jahat pembaca PDF pada bulan Juli 2023—teknik ini dianalisis oleh Microsoft Threat Intelligence di dalam posting blog bulan September 2022.22 Ruby Sleet juga kemungkinan memanfaatkan penginstal dengan pintu belakang (backdoor) pada program dokumen elektronik Korea Selatan di bulan Desember 2023.

Korea Utara memanfaatkan alat AI untuk memfasilitasi aktivitas cyber berbahaya

Pelaku ancaman Korea Utara tengah beradaptasi dengan era AI. Mereka belajar menggunakan alat-alat yang didukung oleh model bahasa besar (LLM) AI, agar operasi mereka menjadi lebih efisien dan efektif. Misalnya, Microsoft dan OpenAI memantau Emerald Sleet memanfaatkan LLM untuk membangkitkan kampanye spearphishing yang menarget ahli Semenanjung Korea.23 Emerald Sleet menggunakan LLM untuk meriset kerentanan dan menyelenggarakan pengintaian terhadap organisasi dan ahli yang berfokus pada Korea Utara. Emerald Sleet juga menggunakan LLM untuk memecahkan masalah teknis, menjalankan tugas skrip dasar, dan menyusun draf konten untuk pesan spear-phishing. Microsoft bermitra dengan OpenAI untuk menonaktifkan akun dan aset yang terasosiasi dengan Emerald Sleet.

Tiongkok akan merayakan hari jadi 75 tahun berdirinya Republik Rakyat Tiongkok pada bulan Oktober, dan Korea Utara akan terus membangkitkan program utama mengenai senjata tingkat lanjut. Sementara itu, saat populasi di India, Korea Selatan, dan Amerika Serikat bergerak menuju tempat pemungutan suara, kami mungkin akan melihat, bagaimana pelaku cyber dan pengaruh Tiongkok, dan dalam hal-hal tertentu, pelaku cyber Korea Utara, akan berupaya menarget pemilu ini.

Tiongkok, setidaknya, akan membuat dan mengamplifikasi konten buatan AI yang dapat menguntungkan posisi mereka dalam pemilu tersohor ini. Meskipun dampak dari konten tersebut tetap tidak memengaruhi audiens secara signifikan, meningkatnya eksperimen Tiongkok seputar penggandaan meme, video, dan audio akan berlanjut—dan mungkin akan terbukti efektif di kemudian hari. Walaupun pelaku cyber Tiongkok telah lama mengintai institusi politik AS, kami tidak akan terkejut jika melihat para pelaku pengaruh berinteraksi dengan masyarakat Amerika Serikat, dalam pencarian mereka untuk terlibat, dan kemungkinan, meriset perspektif mengenai politik AS.

Pada akhirnya, saat Korea Utara memulai kebijakan dari pemerintah baru dan mengejar rencana ambisius pengujian senjata, kami bisa memperkirakan, bahwa perampokan mata uang kripto dan serangan rantai pasokan yang menarget sektor pertahanan akan semakin canggih, yang akan menggelontorkan uang bagi rezim tersebut sekaligus memfasilitasi pengembangan kemampuan militer baru.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 January 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    “Kampanye “Spamouflage” PRC mungkin terjadi, menarget sejumlah besar Anggota Parlemen Kanada dalam kampanye disinformasi,” Oktober 2023,

  8. [8]
  9. [9]

    Sejumlah sumber telah mendokumentasikan kampanye propaganda pemerintah Tiongkok yang tengah dilancarkan. Kampanye bertujuan untuk memicu kemarahan internasional atas keputusan Jepang yang membuang air limbah nuklir hasil kecelakaan nuklir Fukushima Daiichi pada tahun 2011, lihat: Disinformasi Tiongkok Menyulut Amarah Atas Pembuangan Air Fukushima”, 31 Agustus 2023“Jepang menjadi sasaran propaganda Tiongkok dan kampanye online terselubung”, 8 Juni 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operasi Pengaruh Cyber Negara bangsa Laporan negara bangsa Rekayasa sosial Pelaku ancaman

Artikel terkait

Jangkauan dan efektivitas ancaman digital dari Asia Timur mengalami peningkatan

Pelajari dan jelajahi tren terbaru perkembangan lanskap ancaman di Asia Timur. Tiongkok menjalankan operasi pengaruh (IO) dan cyber secara luas, sedangkan pelaku ancaman cyber dari Korea Utara menunjukkan peningkatan kemajuan.
Pelajari Selengkapnya

Menarik keuntungan dari ekonomi kepercayaan: penipuan rekayasa sosial

Jelajahi lanskap digital yang terus berkembang, ketika kepercayaan menjadi mata uang sekaligus kerentanan. Temukan taktik penipuan rekayasa sosial yang paling sering digunakan oleh penyerang cyber, dan tinjau strategi yang dapat membantu Anda mengidentifikasi dan mengatasi ancaman rekayasa sosial yang dirancang untuk memanipulasi sifat manusia.
Pelajari Selengkapnya

Iran meningkatkan operasi-pengaruh cyber untuk mendukung Hamas

Temukan detail mengenai operasi-pengaruh cyber Iran yang mendukung Hamas di Israel. Pelajari bagaimana operasi berproses melalui fase perang yang berbeda-beda, serta periksa empat taktik, teknik, dan prosedur (TTP) pengaruh utama yang paling digemari oleh Iran.
Pelajari selengkapnya

Ikuti Microsoft Security