Trace Id is missing

Stessi obiettivi, nuovi playbook: gli attori di minacce dell'Asia orientale utilizzano metodi esclusivi

Scarica
Condividi
Illustrazione astratta di una nave militare con cerchi rossi e una rete nera su uno sfondo rosa.

Da giugno 2023 Microsoft ha osservato diverse tendenze rilevanti in termini di minacce informatiche e di influenza in Cina e Corea del Nord che dimostrano non solo un'insistenza sugli obiettivi comuni, ma anche il tentativo di usare tecniche di influenza più sofisticate per raggiungere i propri scopi.

Negli ultimi sette mesi gli attori di minacce informatiche cinesi hanno selezionato tre aree target in generale:

  • Una serie di attori cinesi ha colpito su larga scala gli enti target nelle isole del Pacifico meridionale.
  • Una seconda serie di attività cinesi ha continuato una sequenza di cyberattacchi contro avversari regionali nell'area del Mar Cinese Meridionale.
  • Nel frattempo, un terzo gruppo di attori cinesi ha compromesso la base industriale della difesa statunitense.

Anziché ampliare la portata geografica dei loro obiettivi, gli attori di influenza cinesi hanno perfezionato le proprie tecniche e sperimentato con i nuovi media. Le campagne di influenza cinesi hanno continuato ad affinare i contenuti generati o ottimizzati dall'IA. Gli attori di influenza responsabili di queste campagne hanno mostrato di voler amplificare i contenuti multimediali generati dall'IA a vantaggio delle loro narrazioni strategiche, nonché creare i propri video, meme e contenuti audio. Tali tattiche sono state utilizzate in campagne che alimentavano le divergenze all'interno degli Stati Uniti ed esacerbavano le spaccature nell'area dell'Asia Pacifico, che include Taiwan, Giappone e Corea del Sud. Queste campagne hanno raggiunto diversi livelli di risonanza senza una formula singola che comportasse un coinvolgimento coerente del pubblico.

Gli attori di minacce informatiche nordcoreani hanno fatto notizia per aver aumentato gli attacchi alla catena di approvvigionamento di software e i furti di criptovalute nell'ultimo anno. Mentre le campagne strategiche di spear phishing a scapito dei ricercatori che studiano la penisola coreana sono rimaste una tendenza costante, gli attori di minacce nordcoreani hanno presumibilmente fatto un uso maggiore di software legittimo per compromettere un numero ancora superiore di vittime.

Gingham Typhoon colpisce il governo, il settore IT e gli enti multinazionali nelle isole del Pacifico meridionale

Durante l'estate del 2023 Microsoft Threat Intelligence ha osservato un'ampia attività del gruppo di spionaggio con sede in Cina Gingham Typhoon, che ha colpito quasi tutti i paesi delle isole del Pacifico meridionale. Gingham Typhoon è l'attore più attivo in questa area geografica e colpisce organizzazioni internazionali, enti governativi e il settore IT con complesse campagne di phishing. Tra le vittime figuravano anche detrattori del governo cinese.

Tra gli alleati diplomatici della Cina colpiti dalla recente attività di Gingham Typhoon si annoverano uffici esecutivi del governo, dipartimenti legati al commercio, fornitori di servizi Internet e un ente legato ai trasporti.

La motivazione dietro a queste attività informatiche offensive potrebbe essere l'aumento della competizione geopolitica e diplomatica nell'area. La Cina persegue collaborazioni strategiche con le nazioni insulari del Pacifico meridionale per espandere i legami economici e mediare accordi diplomatici e di sicurezza. Lo spionaggio informatico cinese in questa area segue anche i partner economici.

Ad esempio, gli attori cinesi sono impegnati a colpire su larga scala le organizzazioni multinazionali in Papua Nuova Guinea, un partner diplomatico di lunga data che sta beneficiando di molteplici progetti della Belt and Road Initiative (BRI), tra cui la costruzione di un'importante autostrada che collega un edificio del governo della Papua Nuova Guinea alla strada principale della capitale.1

Mappa che illustra la frequenza di minacce informatiche mirate nell’area delle isole dell’Oceano Pacifico con cerchi di dimensioni più o meno ampie
Figura 1: Eventi osservati da Gingham Typhoon da giugno 2023 a gennaio 2024. Questa immagine evidenzia il focus continuo del gruppo sull’area delle isole dell’Oceano Pacifico meridionale. Tuttavia, questo modo di operare si è dimostrato continuo, evidenziando un focus di durata annuale sull’area. Le posizioni geografiche e i diametri della simbologia sono rappresentativi.

Gli attori di minacce cinesi continuano a focalizzarsi sul Mar Cinese Meridionale nel corso delle esercitazioni militari occidentali

Gli attori di minacce con sede in Cina hanno continuato a colpire enti legati agli interessi economici e militari della Cina nel Mar Cinese Meridionale e nelle zone limitrofe. Questi attori hanno opportunisticamente compromesso le vittime del governo e delle telecomunicazioni nell'Associazione delle nazioni del sud-est asiatico (Association of Southeast Asian Nations, ASEAN). Gli attori di minacce informatiche affiliati allo stato cinese sono apparsi particolarmente interessati agli obiettivi legati alle numerose esercitazioni militari statunitensi condotte nell'area. Nel giugno 2023 Raspberry Typhoon, un gruppo di attività stato-nazione con sede in Cina, ha colpito con successo organi militari ed esecutivi in Indonesia e un sistema marittimo malese nelle settimane precedenti a una rara esercitazione navale multilaterale che ha coinvolto Indonesia, Cina e Stati Uniti.

Analogamente, Flax Typhoon, un altro attore di minacce informatiche cinese, ha colpito enti legati alle esercitazioni militari Stati Uniti-Filippine. Nel frattempo, Granite Typhoon, un ulteriore attore di minacce con sede in Cina, durante questo periodo ha compromesso principalmente enti di telecomunicazioni nell'area, con vittime in Indonesia, Malesia, Filippine, Cambogia e Taiwan.

Dalla pubblicazione del blog di Microsoft su Flax Typhoon all'inizio dell'autunno e dell'inverno del 2023, Microsoft ha notato nuovi obiettivi di questo attore di minacce nelle Filippine, a Hong Kong, in India e negli Stati Uniti.2 Flax Typhoon attacca spesso anche il settore delle telecomunicazioni, spesso con numerose ripercussioni.

Mappa che mostra dati di Microsoft Threat Intelligence sulle aree più prese di mira in Asia.
Figura 2: Eventi osservati che prendono di mira paesi/aree geografiche all’interno o nelle vicinanze dell’area del Mare Cinese Meridionale da parte dei gruppi Flax Typhoon, Granite Typhoon e Raspberry Typhoon. Le posizioni geografiche e i diametri della simbologia sono rappresentativi.

Nylon Typhoon compromette gli enti legati agli affari esteri in tutto il mondo

L'attore di minacce con sede in Cina Nylon Typhoon ha continuato la sua lunga pratica di attacchi contro enti legati agli affari esteri in paesi di tutto il mondo. Tra giugno e dicembre 2023 Microsoft ha notato che Nylon Typhoon ha colpito enti pubblici del Sud America, tra cui Brasile, Guatemala, Costa Rica e Perù. L'attore di minacce è stato osservato anche in Europa, dove ha compromesso enti pubblici in Portogallo, Francia, Spagna, Italia e Regno Unito. Sebbene la maggior parte degli obiettivi europei fossero enti pubblici, sono state compromesse anche alcune società IT. Lo scopo di questi obiettivi è la raccolta di informazioni.

Il gruppo di attori di minacce cinese colpisce organi militari e infrastrutture critici negli Stati Uniti

Infine, durante l'autunno e l'inverno del 2023 Storm-0062 ha aumentato la sua attività. Gran parte della sua attività ha compromesso gli enti pubblici statunitensi legati alla difesa, compresi gli appaltatori che forniscono servizi di ingegneria tecnica nel settore aerospaziale, della difesa e delle risorse naturali fondamentali per la sicurezza nazionale degli Stati Uniti. Inoltre, Storm-0062 ha colpito ripetutamente organi militari negli Stati Uniti, anche se non è chiaro se i tentativi di compromissione del gruppo abbiano avuto successo.

Anche la base industriale della difesa statunitense rimane un obiettivo costante di Volt Typhoon. Nel maggio 2023 Microsoft ha attribuito a Volt Typhoon, un attore di attacchi state-sponsored con sede in Cina, gli attacchi alle organizzazioni di importanti infrastrutture statunitensi. Volt Typhoon ha ottenuto l'accesso alle reti delle organizzazioni con tecniche living-off-the-land e attività hands-on-keyboard.3 Queste tattiche gli hanno consentito di mantenere di nascosto l'accesso non autorizzato alle reti target. Da giugno 2023 a dicembre 2023 Volt Typhoon ha continuato a colpire infrastrutture importanti, ma ha anche perseguito lo sviluppo delle risorse compromettendo i dispositivi SOHO (Small Office Home Office) negli Stati Uniti.

Nel nostro report di settembre 2023 abbiamo approfondito come le risorse delle operazioni di influenza cinesi abbiano iniziato a utilizzare l'IA generativa per creare contenuti visivi originali e coinvolgenti. Per tutta l'estate Microsoft Threat Intelligence ha continuato a individuare meme generati dall'IA che prendevano di mira gli Stati Uniti e che amplificavano questioni interne controverse e criticavano l'attuale amministrazione. Gli attori di operazioni di influenza legati alla Cina hanno continuato a usare contenuti multimediali ottimizzati e generati dall'IA (di seguito indicati come "contenuti di IA") in campagne di influenza con un volume e una frequenza crescenti durante tutto l'anno.

L'IA decolla, senza però convincere davvero

Il più prolifico di questi attori che utilizzano contenuti di IA è Storm-1376, nome che Microsoft ha assegnato all'attore legato al Partito comunista cinese (PCC), comunemente noto come "Spamouflage" o "Dragonbridge". In inverno, altri attori legati al PCC hanno iniziato a usare una gamma più ampia di contenuti di IA per aumentare le operazioni di influenza online. Questo ha comportato un notevole aumento dei contenuti con personaggi politici taiwanesi in vista delle elezioni presidenziali e legislative del 13 gennaio. È stata la prima volta che Microsoft Threat Intelligence ha assistito all'utilizzo di contenuti di IA da parte di un attore di stato-nazione nel tentativo di influenzare delle elezioni straniere.

Audio generato dall'IA: il giorno delle elezioni di Taiwan, Storm-1376 ha pubblicato clip audio presumibilmente generati dall'IA riguardanti il proprietario di Foxconn Terry Gou, candidato del Partito indipendente nella corsa presidenziale di Taiwan, che si è ritirato dalla competizione nel novembre 2023. Nelle registrazioni audio si sentiva la voce di Gou che diceva di appoggiare un altro candidato alla corsa presidenziale. La voce di Gou nelle registrazioni è probabilmente generata dall'IA, poiché Gou non ha mai rilasciato tale dichiarazione. YouTube è intervenuto rapidamente su questi contenuti prima che raggiungessero un numero importante di utenti. Questi video sono stati pubblicati giorni dopo che era circolata online una falsa lettera di Terry Gou a sostegno dello stesso candidato. Le principali organizzazioni di fact-checking di Taiwan hanno smentito la lettera. Inoltre, la campagna di Gou ha affermato che questa non era vera e che avrebbero intrapreso un'azione legale in risposta.4 Gou non ha appoggiato formalmente alcun candidato presidenziale in corsa.
Un uomo che indossa un completo tiene un discorso da un podio con del testo in cinese e l’elemento grafico di un’onda audio in primo piano.
Figura 3: Dei video pubblicati da Storm-1376 hanno usato registrazioni vocali generate dall’intelligenza artificiale di Terry Gou per far sembrare che il politico appoggiasse un altro candidato.
Giornalisti generati dall'IA: in una serie di campagne con funzionari taiwanesi,5 nonché in messaggi sul Myanmar, sono apparsi giornalisti creati dall'IA generati da società tecnologiche di terze parti mediante l'uso dello strumento Capcut dell'azienda cinese ByteDance. Storm-1376 fa uso di tali giornalisti generati dall'IA almeno da febbraio 2023,6 ma il volume dei suoi contenuti che includono tali giornalisti negli ultimi mesi è aumentato.
Collage di un veicolo militare
Figura 4: Storm-1376 ha pubblicato video in mandarino e in inglese sostenendo la responsabilità di Stati Uniti e India per le sommosse in Myanmar. Lo stesso conduttore generato da IA è usato in alcuni di questi video.
Video ottimizzati dall'IA: come rivelato dal governo canadese e da altri ricercatori, i video ottimizzati dall'IA hanno utilizzato la somiglianza di un dissidente cinese residente in Canada in una campagna rivolta ai parlamentari canadesi.7 Questi video, che erano solo una parte di una campagna su più piattaforme che prevedeva di perseguitare i politici canadesi sui loro account social, raffiguravano falsamente il dissidente che faceva commenti provocatori sul governo canadese. Contro questo dissidente sono già stati utilizzati in precedenza video simili ottimizzati dall'IA.
Una persona seduta alla scrivania
Figura 5: Video falsi creati dall'IA del dissidente mentre parla in modo dispregiativo di religione. Pur usando tattiche simili alla campagna canadese, questi video non sembrano correlati in termini di contenuti.
Meme generati dall'IA: a dicembre Storm-1376 ha creato una serie di meme generati dall'IA dell'allora candidato alla presidenza del Partito progressista democratico (PPD) di Taiwan William Lai con un conto alla rovescia che indicava che mancavano "X giorni" per strappare il potere al partito.
Rappresentazione grafica con due immagini una di fianco all’altra: una mostra una figura con una X rossa sopra e l’altra con la stessa figura ma senza segni,
Figura 6: Meme generati dall’intelligenza artificiale che accusano il candidato presidenziale del Partito Progressista Democratico (DPP) William Lai di sottrarre fondi dal Forward-looking Infrastructure Development Program di Taiwan. Questi meme mostrano caratteri semplificati, usati in Cina ma non a Taiwan, e facevano parte di una serie di meme che mostrava un “conto alla rovescia giornaliero per togliere il DPP dal potere”.
Infografica di una sequenza temporale che mostra l’influenza di contenuti generati con l’intelligenza artificiale nelle elezioni di Taiwan da dicembre 2023 a gennaio 2024.
Figura 7: una sequenza temporale generata dall’intelligenza artificiale e contenuti migliorati dall’IA apparsi nel periodo di tempo precedente alle elezioni parlamentari e presidenziali di Taiwan del 2024. Storm-1376 ha modificato diversi contenuti fra quelli presentati ed è stato responsabile della creazione di contenuti in due campagne.

Storm-1376 continua a inviare messaggi reattivi, a volte con narrazioni complottiste

Storm-1376, un attore le cui operazioni di influenza coprono 175 siti Web e 58 lingue, continua a organizzare di frequente campagne di messaggistica reattive su eventi geopolitici di alto profilo, in particolare quelli che mettono gli Stati Uniti in cattiva luce o favoriscono l'interesse del PCC nell'area APAC. Dal nostro ultimo report del settembre 2023 queste campagne si sono evolute in diversi importanti modi, includendo foto generate dall'IA per fuorviare il pubblico, alimentando contenuti complottisti (in particolare contro il governo degli Stati Uniti) e mostrando contenuti localizzati a nuove popolazioni, come la Corea del Sud.

1. Accusa che un'"arma meteorologica" del governo statunitense ha provocato gli incendi alle Hawaii

Nell'agosto 2023, mentre infuriavano gli incendi sulla costa nord-occidentale di Maui, nelle Hawaii, Storm-1376 ha colto l'occasione per diffondere narrazioni complottiste su diversi social network. Questi post affermavano che il governo degli Stati Uniti aveva deliberatamente appiccato gli incendi per testare un'"arma meteorologica" di tipo militare. Oltre a pubblicare il testo in almeno 31 lingue su decine di siti Web e piattaforme, Storm-1376 ha usato immagini di strade costiere e residenze in fiamme generate dall'IA per rendere i contenuti più accattivanti.8

Un'immagine composita con un timbro "fake" su scene di enormi incendi.
Figura 8: contenuti cospiratori dei post Storm-1376 che rappresentano l'esplosione di incendi, imputandoli ai test del governo USA di un'"arma meteorologica". Questi post in genere sono accompagnati da foto generate dall'IA di massicci incendi.

2. Aumento dell'indignazione per lo smaltimento delle acque reflue nucleari da parte del Giappone

Storm-1376 ha lanciato una campagna di messaggistica aggressiva su larga scala criticando il governo giapponese dopo che il Giappone ha iniziato a rilasciare acque reflue radioattive trattate nell'Oceano Pacifico il 24 agosto 2023.9 I contenuti di Storm-1376 hanno messo in dubbio la valutazione scientifica dell'Agenzia internazionale per l'energia atomica (AIEA) secondo cui lo smaltimento era sicuro. Storm-1376 ha inviato indiscriminatamente messaggi attraverso le piattaforme di social network in diverse lingue, tra cui giapponese, coreano e inglese. Alcuni contenuti accusavano addirittura gli Stati Uniti di avvelenare intenzionalmente altri paesi per mantenere "l'egemonia idrica". I contenuti usati in questa campagna sono chiaramente generati dall'IA.

In alcuni casi, Storm-1376 ha riciclato contenuti usati da altri attori nell'ecosistema della propaganda cinese, inclusi influencer dei social network affiliati ai media di stato cinesi.10 Influencer e risorse appartenenti a Storm-1376 hanno caricato tre video identici che criticavano il rilascio delle acque reflue di Fukushima. Nel corso del 2023 sono aumentati i casi di post di attori diversi che usano contenuti identici apparentemente in sincronia, fenomeno che potrebbe indicare un coordinamento o la ricezione di specifiche istruzioni in termini di messaggi.

Un'immagine composita che rappresenta un'illustrazione satirica di persone, uno screenshot di un video di godzilla e un post social media
Figura 9: Meme e immagini generate dall'IA volte a criticare lo smaltimento delle acque di scarico di Fukushima da risorse di Chinese IO segrete (sinistra) e funzionari del governo cinese (centro). Influencer affiliati a un organo di stampa statale cinese hanno amplificato le critiche, allineate al messaggio governativo, mosse nei confronti dello smaltimento (destra).

3. Aumento della discordia in Corea del Sud

In relazione allo scarico delle acque reflue di Fukushima, Storm-1376 ha compiuto uno sforzo coordinato per mostrare in Corea del Sud contenuti localizzati che amplificavano le proteste in corso nel paese contro lo smaltimento, nonché contenuti critici nei confronti del governo giapponese. Questa campagna includeva centinaia di post in coreano su più piattaforme e siti Web, inclusi social network sudcoreani come Kakao Story, Tistory e Velog.io.11

Nell'ambito di questa campagna mirata, Storm-1376 ha amplificato attivamente i commenti e le azioni del leader di Minjoo e candidato presidenziale perdente del 2022, Lee Jaemyung (이재명, 李在明). Lee ha criticato la mossa del Giappone definendola "terrorismo dell'acqua contaminata" e pari a una "seconda guerra del Pacifico". Ha inoltre accusato l'attuale governo della Corea del Sud di essere "complice per via del suo sostegno" alla decisione del Giappone e ha iniziato uno sciopero della fame per protesta di 24 giorni.12

Fumetto a quattro vignette sull’inquinamento dell’ambiente e il suo impatto sulle specie marine.
Figura 10: Meme in coreano, sulla piattaforma di blog della Corea del Sud Tistory, amplificano il disaccordo in merito allo smaltimento delle acque reflue di Fukushima.

4. Deragliamento in Kentucky

Durante la festa del Ringraziamento nel novembre 2023, un treno che trasportava zolfo fuso è deragliato nella contea di Rockcastle, nel Kentucky. Circa una settimana dopo il deragliamento, Storm-1376 ha lanciato una campagna sui social network che ha amplificato la notizia del deragliamento, ha diffuso teorie complottiste contro il governo degli Stati Uniti e ha enfatizzato divisioni politiche tra gli elettori statunitensi, alimentando infine la sfiducia e la disillusione nei confronti del governo. Storm-1376 ha esortato il pubblico a prendere in considerazione se il governo degli Stati Uniti possa aver causato il deragliamento e stia "deliberatamente nascondendo qualcosa".13 Alcuni messaggi hanno addirittura paragonato il deragliamento alle teorie sull'insabbiamento dell'11 settembre e di Pearl Harbor.14

Sockpuppet nell'operazione di influenza cinese cercano punti di vista su argomenti legati alla politica statunitense

Nel nostro report di settembre 2023 abbiamo parlato di come account dei social network affiliati al PCC abbiano iniziato a impersonare gli elettori statunitensi fingendosi americani di diversi schieramenti politici e rispondendo ai commenti di utenti veri.15 Queste tentativi di influenzare le elezioni di metà mandato statunitensi del 2022 hanno segnato la prima operazione di influenza cinese osservata.

Il Microsoft Threat Analysis Center (MTAC) ha osservato un piccolo ma costante aumento di altri account sockpuppet che Microsoft ritiene con moderata certezza che siano gestiti dal PCC. Su X (l'ex Twitter), questi account sono stati creati già nel 2012 o 2013, ma hanno iniziato a pubblicare con i loro personaggi attuali solo all'inizio del 2023, il che fa pensare che gli account siano stati acquisiti di recente o riutilizzati. Questi sockpuppet pubblicano video, meme e infografiche originali, ma anche contenuti riciclati da altri account politici di alto profilo. Questi account pubblicano quasi esclusivamente contenuti legati a questioni interne agli Stati Uniti, che vanno dal problema americano dell'uso di droga alle politiche di immigrazione passando per le tensioni razziali, ma occasionalmente commentano argomenti di interesse per la Cina, come lo scarico delle acque reflue di Fukushima o i dissidenti cinesi.

Screenshot di un computer con il testo Guerra e conflitti, problemi legati alla droga, relazioni di etnia ecc.
Figura 11: Nel corso dell’estate e dell’autunno, utenti fantoccio e alter ego hanno usato spesso elementi visivi coinvolgenti nei loro post quando discutevano di argomenti della politica americana ed eventi attuali e talvolta i post venivano migliorati con l’intelligenza artificiale generativa.
Insieme a infografiche o video a sfondo politico, questi account spesso chiedono ai follower se sono d'accordo con l'argomento in questione. Alcuni di questi account hanno pubblicato post su vari candidati presidenziali chiedendo poi ai loro follower di commentare se li sostengono o meno. Questa tattica potrebbe avere lo scopo di cercare un ulteriore coinvolgimento o forse di ottenere informazioni su come gli americani vedono la politica statunitense. Altri account di questo tipo potrebbero agire per aumentare la raccolta di informazioni sulle caratteristiche demografiche chiave dei votanti negli Stati Uniti.
Confronto di immagini su schermo diviso: a sinistra un aereo militare che decolla da una portaerei e a destra un gruppo di persone sedute dietro una transenna
Figura 12: Sockpuppet cinesi sollecitano opinioni su temi politici di altri utenti su X

Nel 2023 gli attori di minacce informatiche nordcoreane hanno rubato centinaia di milioni di dollari in criptovalute, compiuto attacchi alla catena di approvvigionamento di software e colpito i presunti avversari della sicurezza nazionale. Le loro operazioni generano entrate per il governo nordcoreano, in particolare per il suo programma di armi, e raccolgono informazioni su Stati Uniti, Corea del Sud e Giappone.16

Infografica che mostra i settori e i paesi/aree geografiche più presi di mira per le minacce informatiche.
Figura 13: i settori e i paesi/aree geografiche della Corea del Nord da giugno 2023 a gennaio 2024 in base ai dati di notifica stato-nazione di Microsoft Threat Intelligence.

Gli attori informatici nordcoreani rubano una quantità record di criptovalute per generare entrate per lo stato.

Le Nazioni Unite stimano che dal 2017 gli attori di minacce informatiche nordcoreani abbiano rubato oltre 3 miliardi di dollari in criptovalute.17 Solo nel 2023 si sono verificati furti per un totale compreso tra 600 milioni e 1 miliardo di dollari. Secondo quanto riferito, questi fondi rubati finanziano oltre la metà del programma nucleare e missilistico del paese, consentendo l'aumento delle armi e i test su di essi in Corea del Nord nonostante le sanzioni.18 Nell'ultimo anno, la Corea del Nord ha condotto numerosi test missilistici ed esercitazioni militari e il 21 novembre 2023 ha persino lanciato con successo nello spazio un satellite militare da ricognizione.19

Da giugno 2023 tre attori di minacce monitorati da Microsoft (Jade Sleet, Sapphire Sleet e Citrine Sleet) si sono concentrati maggiormente sugli obiettivi legati alle criptovalute. Jade Sleet ha eseguito grandi furti di criptovalute, mentre Sapphire Sleet ha condotto operazioni di furto di criptovalute più piccole ma più frequenti. Microsoft ha attribuito a Jade Sleet il furto di almeno 35 milioni di dollari da parte di una società di criptovalute con sede in Estonia all'inizio di giugno 2023. Microsoft ha inoltre attribuito a Jade Sleet la rapina di oltre 125 milioni di dollari da parte di una piattaforma di criptovalute con sede a Singapore avvenuta un mese dopo. Nell'agosto 2023 Jade Sleet ha iniziato a compromettere i casinò online di criptovalute.

Sapphire Sleet ha costantemente compromesso numerosi dipendenti, inclusi dirigenti e sviluppatori di criptovalute, venture capital e altre organizzazioni finanziarie. Ha inoltre sviluppato nuove tecniche, come l'invio di falsi inviti a riunioni virtuali contenenti collegamenti al dominio di un utente malintenzionato e la registrazione di falsi siti Web di selezione per il lavoro. Citrine Sleet ha dato seguito all'attacco alla catena di approvvigionamento dell'applicazione 3CX del marzo 2023 compromettendo un'azienda downstream di criptovalute e asset digitali con sede in Turchia. La vittima ha ospitato una versione vulnerabile dell'applicazione 3CX collegata alla compromissione della catena di approvvigionamento.

Gli attori di minacce informatiche nordcoreani minacciano il settore IT con attacchi alla catena di approvvigionamento di software e di spear phishing

Gli attori di minacce nordcoreane hanno anche compiuto attacchi alla catena di approvvigionamento di software contro aziende IT, con conseguente accesso ai clienti in downstream. Jade Sleet ha utilizzato repository GitHub e pacchetti npm con intento malevolo in una campagna di spear phishing di ingegneria sociale che ha colpito i dipendenti di organizzazioni tecnologiche e di criptovalute.20 Gli utenti malintenzionati si sono spacciati per sviluppatori o reclutatori, hanno invitato gli obiettivi a collaborare su un repository GitHub e li hanno convinti a clonare ed eseguire i relativi contenuti, che contenevano pacchetti npm dannosi. Nell'agosto 2023 Diamond Sleet ha compiuto un attacco di compromissione della catena di approvvigionamento di una società IT con sede in Germania e ha usato con intento malevolo un'applicazione di una società IT con sede a Taiwan per condurre un attacco alla catena di approvvigionamento nel novembre 2023. Nell'ottobre 2023 Diamond Sleet e Onyx Sleet hanno sfruttato la vulnerabilità CVE-2023-42793 di TeamCity, che consente a un utente malintenzionato di eseguire un attacco di esecuzione di codice in modalità remota e ottenere il controllo amministrativo del server. Diamond Sleet ha utilizzato questa tecnica per compromettere centinaia di vittime in vari settori negli Stati Uniti e in paesi europei, tra cui Regno Unito, Danimarca, Irlanda e Germania. Onyx Sleet ha sfruttato la stessa vulnerabilità per compromettere almeno 10 vittime, tra cui un fornitore di software in Australia e un'agenzia governativa in Norvegia. Ha inoltre utilizzato strumenti post-compromissione per eseguire ulteriori payload.

Gli attori informatici nordcoreani hanno colpito gli Stati Uniti, la Corea del Sud e i loro alleati

Gli attori di minacce nordcoreani hanno continuato a colpire i loro presunti avversari nel settore della sicurezza nazionale. Questa attività informatica dimostra l'obiettivo geopolitico della Corea del Nord di contrastare l'alleanza trilaterale tra Stati Uniti, Corea del Sud e Giappone. I leader dei tre paesi hanno consolidato questa alleanza durante il vertice di Camp David nell'agosto 2023.21 Ruby Sleet e Onyx Sleet hanno continuato a colpire organizzazioni aerospaziali e di difesa negli Stati Uniti e in Corea del Sud. Emerald Sleet ha continuato la sua campagna di ricognizione e spear phishing colpendo diplomatici ed esperti della penisola coreana nel governo, think tank/ONG e il settore dei media e dell'istruzione. Nel giugno 2023 Pearl Sleet ha continuato le sue operazioni contro enti sudcoreani che collaborano con disertori e attivisti nordcoreani impegnati su questioni relative ai diritti umani nordcoreani. Microsoft ritiene che il motivo alla base di queste attività sia la raccolta di informazioni.

Gli attori nordcoreani implementano backdoor in software legittimo

Gli attori di minacce nordcoreani hanno usato inoltre backdoor in software legittimo, sfruttando le vulnerabilità del software esistente. Nella prima metà del 2023 Diamond Sleet ha spesso usato software dannoso VNC con intento malevolo per compromettere le vittime. Nel luglio 2023 Diamond Sleet ha inoltre ripreso a usare software dannoso per lettori PDF con intento malevolo, tecniche che Microsoft Threat Intelligence ha analizzato in un post di blog di settembre 2022.22 Probabilmente nel dicembre 2023 anche Ruby Sleet ha utilizzato un programma di installazione backdoor di un programma per documenti elettronici sudcoreano.

La Corea del Nord ha utilizzato strumenti di IA per consentire attività informatiche dannose

Gli attori di minacce nordcoreani si stanno adattando all'era dell'IA e stanno imparando a utilizzare strumenti basati su modelli linguistici di grandi dimensioni (LLM) di IA per rendere le loro operazioni più efficienti ed efficaci. Ad esempio, Microsoft e OpenAI hanno osservato che Emerald Sleet usa gli LLM per potenziare le campagne di spear phishing contro gli esperti della penisola coreana.23 Emerald Sleet ha utilizzato gli LLM per ricercare le vulnerabilità e condurre ricognizioni su organizzazioni ed esperti che operano in Corea del Nord. Emerald Sleet ha inoltre usato gli LLM per risolvere problemi tecnici, svolgere attività di scripting di base e creare bozze di contenuti per messaggi di spear phishing. Microsoft ha collaborato con OpenAI per disabilitare account e risorse associati a Emerald Sleet.

La Cina celebrerà il 75° anniversario della fondazione della Repubblica popolare cinese a ottobre e la Corea del Nord continuerà a portare avanti i principali programmi di armi avanzate. Nel frattempo, mentre le popolazioni di India, Corea del Sud e Stati Uniti si recano alle urne, è probabile che vedremo gli attori di minacce informatiche e di influenza cinesi e, in una certa misura, gli attori di minacce informatiche nordcoreani lavorare per colpire queste elezioni.

La Cina, come minimo, creerà e amplificherà i contenuti generati dall'IA a vantaggio della sua posizione in queste elezioni di alto profilo. Sebbene l'impatto di tali contenuti nell'influenzare il pubblico rimanga basso, la Cina continuerà a provare ad aumentare meme, video e audio, strategia che potrebbe rivelarsi efficace in futuro. Sebbene gli attori di minacce informatiche cinesi conducano da tempo la ricognizione delle istituzioni politiche statunitensi, siamo pronti a vedere gli attori di operazioni di influenza interagire con gli americani per coinvolgerli e potenzialmente ricercare punti di vista sulla politica statunitense.

Infine, mentre la Corea del Nord intraprende nuove politiche governative e persegue piani ambiziosi per i test sulle armi, possiamo aspettarci furti di criptovalute sempre più sofisticati e attacchi alla catena di approvvigionamento mirati al settore della difesa, che serviranno sia a incanalare denaro nel regime sia a facilitare lo sviluppo di nuove capacità militari.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出", 1° gennaio 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?", 11 gennaio 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    "Probable PRC "Spamouflage" campaign targets dozens of Canadian Members of Parliament in disinformation campaign", ottobre 2023

  8. [8]
  9. [9]

    Molteplici fonti hanno documentato la campagna di propaganda in corso del governo cinese volta a suscitare indignazione internazionale per la decisione del Giappone di smaltire le acque reflue nucleari dell'incidente nucleare di Fukushima Daiichi del 2011, consultare: "China's Disinformation Fuels Anger Over Fukushima Water Release", 31 agosto 2023"Japan targeted by Chinese propaganda and covert online campaign", 8 giugno 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operazioni di influenza informatica Attacchi stato-nazione Report sugli attacchi stato-nazione Ingegneria sociale Attori di minacce

Articoli correlati

Aumenta la portata e l'efficacia delle minacce digitali dell'Asia orientale

Approfondisci ed esplora le tendenze emergenti nel panorama di minacce in continua evoluzione dell'Asia orientale, in cui la Cina conduce operazioni IO e informatiche di vasta portata, mentre gli attori di minacce informatiche della Corea del Nord dimostrano una sempre maggiore complessità.
Scopri di più

Approfittarsi dell'economia della fiducia: la frode dell'ingegneria sociale

Esplora il panorama digitale in evoluzione in cui la fiducia è una valuta ma anche una vulnerabilità. Scopri le tattiche di frode basate sull'ingegneria sociale che gli utenti malintenzionati usano più spesso e verifica le strategie che possono aiutarti a identificare e disinnescare le minacce di ingegneria sociale pensate per manipolare le persone.
Scopri di più

L'Iran intensifica le operazioni informatiche di influenza a sostegno di Hamas

Scopri i dettagli delle operazioni informatiche di influenza dell'Iran a sostegno di Hamas in Israele. Scopri l'andamento delle operazioni durante le diverse fasi della guerra ed esamina le quattro tattiche, tecniche e procedure (TTP) chiave di influenza maggiormente predilette dall'Iran.
Scopri di più

Segui Microsoft Security