Trace Id is missing

Samme mål, ny strategi: Trusselaktører fra Øst-Asia tar i bruk helt spesielle metoder

Last ned
Del
Abstrakt illustrasjon av et marinefartøy med grafiske røde sirkler og svarte nettelementer mot en rosa bakgrunn.

Microsoft har observert flere betydningsfulle påvirkningstrender fra Kina og Nord-Korea siden juni 2023 som viser ikke bare enda mer målbevisste angrep mot kjente mål, men også forsøk på å bruke mer sofistikerte påvirkningsteknikker for å oppnå målene.

Kinesiske cyberaktører konsentrerte seg i hovedsak om tre målområder de siste sju månedene:

  • Ett sett kinesiske aktører rettet seg i stor grad mot organer i de sørlige stillehavsøyene.
  • Et annet sett kinesisk aktivitet fortsatte en rekke cyberangrep mot regionale fiender i områder rundt Sør-Kinahavet.
  • Samtidig kompromitterte et tredje sett kinesiske aktører USAs forsvarsindustri.

Kinesiske påvirkningsaktører valgte heller å finpusse teknikkene og eksperimentere med nye medier enn å utvide den geografiske rekevidden. Kinesiske påvirkningskampanjer fortsatte å kultivere innhold generert eller hjulpet av kunstig intelligens. Påvirkningsaktørene bak disse kampanjene har vist en villighet til både å utvide bruken av medier generert av kunstig intelligens som gagner deres strategiske fortellinger, og til å lage sitt eget video-, mem- og lydinnhold. Slik taktikk har blitt brukt i kampanjer for å så splid i USA og forverre konflikter i Asia-Stillehavsområdet, blant annet Taiwan, Japan og Sør-Korea. Disse kampanjene oppnådde varierende grader av gjennomslag, men ingen av formlene produserte noe jevnt engasjement blant målgruppen.

Nordkoreanske cyberaktører skapte overskrifter for en økning i angrep på programvare i forsyningskjeder og kryptovalutatyverier i løpet av det siste året. Trenden med målrettede phishing-kampanjer mot forskere som studerer Koreahalvøya, fortsetter, men nordkoreanske aktører gjorde visst også større bruk av legitim programvare til å kompromittere enda flere ofre.

Gingham Typhoon angriper myndigheter, IT og flernasjonale organer på øyene i det sørlige Stillehavet

Sommeren 2023 observerte Microsoft trusselinformasjon omfattende aktivitet fra den Kina-baserte spionasjegruppen Gingham Typhoon med angrep på nesten hver eneste øynasjon i det sørlige Stillehavet. Gingham Typhoon er den mest aktive aktøren i dette området og rammer internasjonale organisasjoner, offentlige organer og IT-sektoren med kompliserte phishing-kampanjer. Ofre inkluderer også åpne kritikere av de kinesiske myndighetene.

Diplomatiske allierte av Kina som ble ofre for den nylige Gingham Typhoon-aktiviteten, omfattet blant annet offentlige kontorer, handelsrelaterte avdelinger, Internett-leverandører og transportorganer.

Større geopolitisk og diplomatisk konkurranse i området kan være motivet for disse aggressive cyberaktivitetene. Kina forfølger strategiske partnerskap med øynasjoner sør i Stillehavet for å utvide økonomiske bånd og forhandle frem diplomatiske ordninger og sikkerhetsordninger. Kinesisk cyberspionasje i dette området følger også økonomiske partnere.

Kinesiske aktører retter for eksempel angrep i stor skala mot flernasjonale organisasjoner i Papua Ny-Guinea, som lenge har vært en diplomatisk partner som nyter godt av flere prosjekter i belte-vei-initiativet (BRI), blant annet byggingen av en større hovedvei som forbinder regjeringsbygget i Papua Ny-Guinea med hovedstadens hovedgate.1

Kart som illustrerer frekvensen av målrettede cybertrusler i øynasjoner i Stillehavet, med større sirkler
Figur 1: Observerte hendelser fra Gingham Typhoon fra juni 2023 til januar 2024. Denne aktiviteten fremhever det fortsatte fokuset på øynasjoner sør i Stillehavet. Store deler av denne målrettingen er imidlertid kontinuerlig og gjenspeiler et årelangt fokus på området. Geografiske plasseringer og diameter med symbolikk er representativt.

Kinesiske trusselaktører beholder fokuset på Sør-Kinahavet under vestlige militære øvelser

Kina-baserte trusselaktører fortsatte med å rette angrepene mot organer forbundet med Kinas økonomiske og militære interesser i og rundt Sør-Kinahavet. Disse aktørene benyttet anledningen til å kompromittere statlige mål og telekommunikasjonsmål i Association of Southeast Asian Nations (ASEAN). Aktører med tilknytning til den kinesiske staten virket spesielt interessert i mål som var forbundet med de mange amerikanske militærøvelsene som ble holdt i området. I juni 2023 utførte Raspberry Typhoon, en statlig aktivitetsgruppe basert i Kina, et vellykket angrep på militære og administrative organer i Indonesia og et malaysisk maritimt anlegg i ukene før en sjelden multilateral marineøvelse med Indonesia, Kina og USA.

Likeledes ble organer forbundet med militærøvelser med USA og Filippinene utsatt av en annen kinesisk cyberaktør, Flax Typhoon. I mellomtiden kompromitterte Granite Typhoon, enda en trusselaktør basert i Kina, i hovedsak telekommunikasjonsenheter i området i denne perioden, med ofre i Indonesia, Malaysia, Filippinene, Kambodsja og Taiwan.

Siden publiseringen av Microsofts blogg om Flax Typhoon, har Microsoft observert nye Flax Typhoon-mål i Filippinene, Hongkong, India og USA tidlig på høsten og vinteren i 2023.2 Denne aktøren angriper også ofte telekommunikasjonssektoren, noe som gjerne har innvirkning nedstrøms.

Kart som viser data fra microsoft trusselinformasjon, om de mest målrettede områdene i asia,
Figur 2: Observerte hendelser som retter seg mot land i eller rundt Sør-Kinahavet, av Flax Typhoon, Granite Typhoon eller Raspberry Typhoon. Geografiske plasseringer og diameter med symbolikk er representativt.

Nylon Typhoon kompromitterer utenriksorganer verden over

Den Kina-baserte trusselaktøren Nylon Typhoon har fortsatt sin sedvanlige praksis med å rette angrepene mot utenriksorganer i land rundt omkring i verden. Mellom juni og desember 2023 observerte Microsoft Nylon Typhoon i offentlige organer i Sør-Amerika, blant annet i Brasil, Guatemala, Costa Rica og Peru. Trusselaktøren ble også observert i Europa. hvor den kompromitterte offentlige organer i Portugal, Frankrike, Spania, Italia og Storbritannia. De fleste europeiske målene var offentlige organer, men det var også noen IT-selskaper som ble rammet. Formålet med disse angrepene er å innhente informasjon.

Kinesisk trusselgruppe retter angrep mot militære enheter og viktig infrastruktur i USA

Til slutt økte Storm-0062 aktiviteten gjennom høsten og vinteren 2023. Mye av denne aktiviteten kompromitterte offentlige organer knyttet til USAs forsvar, blant annet entreprenører som leverte tekniske ingeniørtjenester for luftfart, forsvar og naturressurser som er viktige for USAs sikkerhet. I tillegg angrep Storm-0062 gjentatte ganger militære enheter i USA, men det er ikke kjent om gruppen lykkes i disse forsøkene.

Den amerikanske forsvarsindustrien er også stadig et mål for Volt Typhoon. I mai 2023 tilskrev Microsoft Volt Typhoon, en statssponset aktør basert i Kina, angrep på viktige infrastrukturorganisasjoner i USA. Volt Typhoon fikk tilgang til organisasjoners nettverk med LotL (living-off-the-land)-teknikker og manuelle tastaturangrep.3 Disse taktikkene gjorde det mulig for Volt Typhoon å opprettholde uautorisert tilgang til utsatte nettverk ubemerket. Fra juni 2023 til desember 2023 fortsatte Volt Typhoon med å rette angrep mot viktig infrastruktur, men de drev også med ressursutvikling ved å kompromittere enheter i småbedrifter i hele USA.

I rapporten vår i september 2023 redegjorde vi for hvordan ressurser innen kinesiske påvirkningsoperasjoner hadde begynt å bruke generativ kunstig intelligens til å lage visuelt innhold som var profesjonelt og engasjerende. I løpet av sommeren fortsatte Microsoft trusselinformasjon å identifisere memer generert av kunstig intelligens rettet mot USA. Disse blåste opp kontroversielle innenrikssaker og kritiserte det gjeldende styret. Kina-tilknyttede påvirkningsaktører har fortsatt å bruke medier som er generert og forbedret av kunstig intelligens (fra nå av «KI -innhold») i påvirkningskampanjer i stadig større volum og hyppighet i løpet av året.

Stor økning i bruk av kunstig intelligens (uten ønsket effekt)

De mest produktive av aktørene som bruker innhold generert av kunstig intelligens, er Storm-1376 – Microsofts navn på aktøren koblet til Kinas kommunistparti (KKP) som også går under navnet Spamouflage eller Dragonbridge. Innen vinteren begynte andre aktører koblet til KKP å bruke et større utvalg KI-innhold til å forsterke påvirkningsoperasjoner på nettet. Dette omfattet en merkbar økning i innhold med taiwanske politikere før president- og parlamentsvalget 13. januar. Dette var første gang Microsoft trusselinformasjon har vært vitne til at statlige aktører har brukt KI-innhold i forsøket på å påvirke valget i et annet land.

Lyd generert av kunstig intelligens: På Taiwans valgdag publiserte Storm-1376 lydklipp som trolig var generert av kunstig intelligens, av Foxconn-eieren Terry Gou, uavhengig kandidat i det taiwanske presidentvalget, som trakk seg fra konkurransen i november 2023. I lydopptakene høres Gous stemme som gir sin støtte til en annen kandidat i presidentvalget. Gous stemme i opptaket er sannsynligvis generert av kunstig intelligens, siden Gou ikke kom med noen slik uttalelse. YouTube grep raskt inn mot innholdet før det nådde betydelig antall brukere. Disse videoene kom noen dager etter at et falskt brev fra Terry Gou som støttet den samme kandidaten, hadde sirkulert på nettet. Taiwans ledende faktasjekkingsorganisasjoner avslørte brevet. Gous kampanje uttalte også at brevet ikke var ekte, og at de kom til å gå til rettslige skritt som svar.4 Gou støttet ikke formelt noen annen presidentkandidat før valget.
En mann i dress som snakker på et podium med kinesisk tekst, og grafikk av en lydbølgeform i forgrunnen.
Figur 3: Videoer publisert av Storm-1376 brukte stemmeopptak generert av kunstig intelligens av Terry Gou, for å få det til å se ut som han anbefalte en annen kandidat.
Nyhetsopplesere generert av kunstig intelligens: Nyhetsopplesere generert av kunstig intelligens av tredjeparts teknologiselskaper som bruker Capcut-verktøyet til det kinesiske teknologifirmaet ByteDance, dukket opp i en rekke kampanjer med taiwanske embetspersoner,5 i tillegg til meldinger om Myanmar. Storm-1376 har brukt slike nyhetsopplesere generert av kunstig intelligens siden i hvert fall februar 2023,6 men det har vært en økning i innhold med disse nyhetsoppleserne de siste månedene.
En montasje av et militært kjøretøy
Figur 4: Storm-1376 publiserte videoer på mandarin og engelsk som hevdet at USA Og India var ansvarlige for urolighetene i Myanmar. Det samme nyhetsankeren generert av kunstig intelligens brukes i noen av disse videoene.
Videoer forbedret av kunstig intelligens: Som avslørt av Canadas regjering og andre forskere, ble bildet av en kinesisk dissident basert i Canada brukt i videoer hjulpet av kunstig intelligens i en kampanje mot kanadiske parlamentsmedlemmer.7 Disse videoene, som bare var én del av en kampanje på flere plattformer som omfattet trakassering av kanadiske politikere på deres egne kontoer på sosiale medier, viste en falsk fremstilling av at dissidenten kom med provoserende uttalelser om den kanadiske regjeringen. Lignende videoer hjulpet av kunstig intelligens har blitt brukt mot denne dissidenten før.
En person som sitter ved et skrivebord
Figur 5: Deepfake-videoer aktivert av kunstig intelligens av dissidenten som snakker på en nedsettende måte om religion. Ved bruk av samme taktikk som den kanadiske kampanjen, ser disse videoene innholdsmessig urelaterte ut.
Memer generert av kunstig intelligens: Storm-1376 lanserte en rekke memer generert av kunstig intelligens av det som da var Taiwans presidentkandidat fra Det demokratiske progressive parti (DPP), William Lai, i desember med et nedtellingsstema som hevdet at det var «X dager» til å ta makten fra DPP.
Grafisk representasjon med to bilder ved siden av hverandre, der det ene viser en figur med en rød x og det andre med samme figuren umerket,
Figur 6: Memer generert av kunstig intelligens som anklager presidentkandidaten fra det demokratiske progressive parti (DPP), William Lai, for å underslå midler fra Taiwans fremtidsrettede utviklingsprogram for infrastruktur. Disse memene viser forenklede figurer (brukes i PRC, men ikke i Taiwan) og var en del av en serie som viser en daglig «nedtelling for å ta makten fra DPP».
Tidslinje-infografikk som viser påvirkningen av innhold generert av kunstig intelligens, fra de taiwanske valgene fra desember 2023 til januar 2024.
Figur 7: En tidslinje med innhold som er forbedret og generert av kunstig intelligens, som dukket opp under oppkjøringen til president- og parlamentsvalget i Taiwan i januar 2024. Storm-1376 forsterket flere av disse innholdsdelene, og var ansvarlig for å lage innhold i to kampanjer.

Storm-1376 fortsetter å spre reaktive meldinger, av og til med konspiratorisk innhold

Storm-1376 – en aktør som har påvirkningsoperasjoner på over 175 nettsteder og 58 språk – har fortsatt å iverksette reaktive meldingskampanjer rundt høyprofilerte geopolitiske hendelser, spesielt dem som stiller USA i et dårlig lys eller fremmer KKPs interesser i APAC-regionen. Siden den siste rapporten vår i september 2023 har disse kampanjene utviklet seg på flere viktige måter, blant annet ved å innlemme bilder generert av kunstig intelligens for å forlede målgruppene, fyre på med konspiratorisk innhold – spesielt mot USAs regjering – og de har rettet angrep mot nye befolkninger, blant annet Sør-Korea, med lokalisert innhold.

1. Påstand om at et statseid «værvåpen» fra USA startet skogbrannen på Hawaii

I august 2023, mens skogbrannene herjet på den nordvestlige kysten av Maui i Hawaii, benyttet Storm-1376 sjansen til å spre konspiratoriske fortellinger på flere sosiale medier. Disse innleggene hevdet at de amerikanske myndighetene med vilje hadde startet brannene for å prøve ut et militært «værvåpen». I tillegg til å publisere teksten på minst 31 språk på tvers av flere titalls nettsteder og plattformer, brukte Storm-1376 bilder generert av kunstig intelligens av brennende kystveier og boliger for å gjøre innholdet mer iøynefallende.8

Et sammensatt bilde med et «falskt» stempel over scener med dramatiske branner.
Figur 8: Storm-1376 legger ut konspiratorisk innhold få dager etter utbruddet av skogbranner, og hevder at brannene er et resultat av amerikanske myndigheters testing av et «meteorologisk våpen». Disse innleggene var ofte kombinert med bilder av store branner, generert av kunstig intelligens.

2. Overdrivelse av indignasjon over Japans utslipp av radioaktivt avløpsvann

Storm-1376 lanserte en stor, aggressiv meldingskampanje som kritiserte de japanske myndighetene etter at Japan begynte å slippe ut behandlet radioaktivt avfallsvann i Stillehavet 24. august 2023.9 Innholdet til Storm-1376 sådde tvil om den vitenskapelige vurderingen til det internasjonale atomenergibyrået (IAEA) om at det var trygt å slippe det ut. Storm-1376 sendte vilkårlig ut meldinger på sosiale medier på flere språk, blant annet japansk, koreansk og engelsk. Noe av innholdet anklaget til og med USA for å ha forgiftet andre land bevisst for å opprettholde «herredømme over vann». Innholdet brukt i denne kampanjen bar preg av å være generert av kunstig intelligens.

I noen tilfeller resirkulerte Storm-1376 innhold brukt av andre aktører i det kinesiske propagandasystemet, blant annet påvirkere fra sosiale medier som er knyttet til kinesiske statseide medier.10 Påvirkere og ressurser som tilhørte Storm-1376, lastet opp tre identiske videoer som kritiserte utslippet av avløpsvannet fra Fukushima. Slike tilfeller av innlegg fra forskjellige aktører som bruker identisk innhold tilsynelatende i takt med hverandre – noe som kan tyde på koordinering eller dirigering – har økt gjennom hele 2023.

Et sammensatt bilde med en satirisk illustrasjon av mennesker, et skjermbilde av en video som viser Godzilla, og et innlegg på sosiale medier
Figur 9: Memer og bilder generert av kunstig intelligens, som er kritiske til Fukushimas avfallshåndtering, fra skjulte kinesiske IO-ressurser (venstre) og kinesiske statlige tjenestemenn (i midten). Påvirkere tilknyttet kinesiske statseide medier forsterket også myndighetsjusterte meldinger som er kritiske til håndteringen (høyre).

3. Oppildning til splid i Sør-Korea

I forbindelse med utslippet av avløpsvannet fra Fukushima, gjorte Storm-1376 en samlet innsats for å ramme Sør-Korea med lokalisert innhold som overdrev protestene i landet mot utslippet, i tillegg til innhold som var kritisk til de japanske myndighetene. Denne kampanjen inkluderte hundrevis av innlegg på koreansk på tvers av flere plattformer og nettsteder, blant annet sørkoreanske sosiale medier som Kakao Story, Tistory og Velog.io.11

Som en del av denne målrettede kampanjen gikk Storm-1376 aktivt inn for å overdrive kommentarer og handlinger fra Minjoo-leder og mislykket presidentkandidat i 2022, Lee Jaemyung (이재명, 李在明). Lee kritiserte Japans tiltak som «forurenset vannterror» som var ensbetydende med en «andre stillehavskrig». Han anklaget også Sør-Koreas sittende regjering for å være «medskyldige ved å støtte» Japans avgjørelse og satte i gang en sultestreik i protest som varte i 24 dager.12

Tegneserie med fire ruter som tar for seg miljøforurensning og påvirkningen på livet i havet.
Figur 10: Memer på koreansk fra den koreanske bloggeplattformen Tistory øker spliden om Fukushimas avfallshåndtering.

4. Avsporingen i Kentucky

I løpet av Thanksgiving i november 2023 sporet et tog lastet med flytende svovel av i Rockcastle County i Kentucky. Cirka en uke etter avsporingen lanserte Storm-1376 en kampanje på sosiale medier som overdrev avsporingen, spredte konspirasjonsteorier mot den amerikanske regjeringen og fremhevet politisk splittelse blant amerikanske velgere. I siste instans oppfordret det til mistillit og desillusjon mot den amerikanske regjeringen. Storm-1376 prøvde å overtale målgruppene til å tro at kanskje de amerikanske myndighetene hadde forårsaket avsporingen og «skjuler noe».13 Enkelte meldinger sammenlignet til og med avsporingen med teorier om neddyssing etter 9/11 og Pearl Harbour14

Kinesiske sokkedukker for påvirkningsoperasjoner søker perspektiver på politiske emner i USA

I rapporten vår i september 2023 fremhevet vi hvordan kontoer på sosiale medier med forbindelser til det kinesiske kommunistpartier har begynt å etterligne amerikanske velgere ved å utgi seg for å være amerikanere fra hele det politiske spekteret og svare på kommentarer fra ekte brukere.15 Disse forsøkene på å påvirke mellomvalget i USA i 2022 markerte en ny observasjon av kinesiske påvirkningsoperasjoner.

Microsoft Threat Analysis Center (MTAC) har observert en liten, men stabil økning i ytterligere sokkedukkekontoer som vi er relativt sikre på at drives av KKP. På X (tidligere Twitter) ble disse kontoene opprettet så tidlig som i 2012 eller 2013, men de begynte å publisere innlegg under de nåværende profilene først i begynnelsen av 2023 – noe som tyder på at kontoene ble overtatt nylig, eller har fått et nytt bruksområde. Disse sokkedukkene legger inn både originale produserte videoer og infografikk i tillegg til resirkulert innhold fra andre høyprofilerte politiske kontoer. Disse kontoene har nesten utelukkende innlegg om innenrikssaker i USA – alt fra amerikansk narkotikabruk, innvandringslover og spenninger mellom folkegrupper – med de kommenterer av og til på emner av interesse for Kina, for eksempel dumpingen av avfallsvannet fra Fukushima eller kinesiske dissidenter.

Et skjermbilde av en datamaskin med teksten Krig og konflikter, narkotikaproblem, raserelasjoner osv.
Figur 11: Gjennom hele sommeren og høsten brukte kinesiske sokkedukker og figurer ofte engasjerende visualobjekter – noen ganger forbedret gjennom generativ kunstig intelligens – i innleggene når de diskuterte politiske problemer og nåværende hendelser i USA.
Sammen med politisk motivert infografikk spør disse kontoene ofte følgere om de er enige i det omtalte emnet. Noen av disse kontoene har publisert innhold om forskjellige presidentkandidater og deretter spurt følgerne om de støtter dem eller ikke. Denne taktikken kan være en måte å øke engasjementet på eller muligens få innsikt i amerikaneres syn på landets politikk. Flere slike kontoer kan være i drift for å sanke mer informasjon rundt viktige velgergrupper i USA.
Bildesammenligning med delt skjerm: til venstre – et militærfly som letter fra et hangarskip, og til høyre – en gruppe mennesker som sitter bak en barriere
Figur 12: Kinesiske sokkedukker ber om meninger om politiske emner fra andre brukere på X

Nordkoreanske cybertrusselaktører stjal hundrevis av millioner dollar i kryptovaluta, utførte angrep på programvare i forsyningskjeder og rettet angrep mot dem de så på som fiender av nasjonal sikkerhet i 2023. Operasjonene genererer inntekt for den nordkoreanske regjeringen – og særlig våpenprogrammet – og innhenter informasjon om USA, Sør-Korea og Japan.16

Infografikk som viser de mest målrettede sektorene og landene for cybertrusler.
Figur 13: Nord-Koreas mest målrettede sektorer og land fra juni 2023 til januar 2024 basert på statlige varslingsdata fra Microsoft trusselinformasjon.

Nordkoreanske cyberaktører plyndrer en rekordstor mengde kryptovaluta for å generere inntekter for staten.

USA anslår at nordkoreanske cyberaktører har stjålet over USD 3 milliarder i kryptovaluta siden 2017.17 Bare i 2023 ranet de mellom USD 600 millioner og USD 1 milliard. Disse stjålne midlene finansierer visstnok over halve atomvåpen- og missilprogrammet i landet, noe som gjør det mulig for Nord-Korea å skaffe seg og teste så mange våpen til tross for sanksjoner.18 Nord-Korea utførte mange missiltester og militærøvelser det siste året og klarte til og med å sende opp en militær rekognoseringssatelitt i verdensrommet 21. november 2023.19

Tre trusselaktører som følges av Microsoft – Jade Sleet, Sapphire Sleet og Citrine Sleet – har vært mest fokusert på kryptovalutamål siden 2023. Jade Sleet utførte store kryptovalutatyverier, mens Sapphire Sleet utførte mindre, men hyppigere kryptovalutatyverier. Microsoft tilskrev Jade Sleet tyveriet av minst USD 35 millioner fra et kryptovalutafirma basert i Estonia tidlig i juni 2023. Microsoft tilskrev også Jade Sleet ranet av over USD 125 millioner fra en kryptovalutaplattform basert i Singapore en måned senere. Jade Sleet begynte å kompromittere kryptovalutakasinoer i august 2023.

Sapphire Sleet kompromitterte flere ansatte, blant annet direktører og utviklere ved organisasjoner som driver med kryptovaluta, risikokapital og andre finanstjenester. Sapphire Sleet utviklet også nye teknikker, for eksempel å sende falske invitasjoner til et virtuelt møte som inneholdt koblinger til et angriperdomene, og registrerte falske rekrutteringsnettsteder. Citrine Sleet fulgte opp 3CX-forsyningskjedeangrepet i mars 2023 med å kompromittere et nedstrøms Tyrkia-basert firma for kryptovaluta og digitale ressurser. Offeret driftet en sårbar versjon av 3CX-programmet som var forbundet med forsyningskjedebruddet.

Nordkoreanske cyberaktører terroriserer IT-sektoren med målrettede phishing-angrep og angrep på programvare i forsyningskjeder

Nordkoreanske trusselaktører utførte også angrep på programvare i forsyningskjeder for IT-firmaer, noe som resulterte i tilgang til kunder nedstrøms. Jade Sleet brukte GitHub-repositorier og npm-pakker brukt som våpen i en målrettet phishing-kampanje med sosial manipulering som var rettet mot ansatte i kryptovaluta- og teknologiorganisasjoner.20 Angriperne etterlignet utviklerne eller rekruttererne, inviterte målene til å samarbeide på et GitHub-repositorium og overtalte dem til å klone og kjøre innholdet, som inneholdt skadelige npm-pakker. Diamond Sleet kompromitterte et IT-selskap basert i Tyskland med et forsyningskjedeangrep i august 2023 og brukte et program fra et IT-firma basert i Taiwan som våpen til å utføre et forsyningskjedeangrep i 2023. Både Diamond Sleet og Onyx Sleet utnyttet TeamCity CVE-2023- 42793-sårbarheten i oktober 2023, som gjør det mulig for angriperen å utføre et angrep med fjernkjøring av kode og få administrativ kontroll over serveren. Diamond Sleet brukte denne teknikken til å kompromittere hundrevis av ofre i forskjellige bransjer i USA og Europa, blant annet Storbritannia. Danmark. Irland og Tyskland. Onyx Sleet utnyttet den samme sårbarheten til å kompromittere minst 10 ofre – blant annet en programvareleverandør i Australia og et offentlig organ i Norge – og brukte deretter verktøy til å utføre ytterligere nyttelaster.

Nordkoreanske cyberaktører rettet angrep mot USA, Sør-Korea og deres allierte

Nordkoreanske trusselaktører fortsatte å rette angrep mot dem de så på som fiender av nasjonal sikkerhet. Denne cyberaktiviteten eksemplifiserte Nord-Koreas geopolitiske mål med å komme med mottiltak mot den trilaterale alliansen mellom USA, Sør-Korea og Japan. Lederne i de tre landene konsoliderte dette samarbeidet under Camp David-forhandlingene i august 2023.21 Ruby Sleet og Onyx Sleet fortsatte trenden med å rette angrepene mot romfarts- og forsvarsorganisasjoner i USA og Sør-Korea. Emerald Sleet fortsatte å rette rekognoseringskampanjene og målrettet phishing-kampanjene mot diplomater og eksperter på Koreahalvøya i regjeringen, tenketanker / ideelle organisasjoner, medier og utdanning. Pearl Sleet fortsatte operasjonene mot sørkoreanske organer som jobber med nordkoreanske avhoppere og aktivister som er opptatt av menneskerettighetssaker, i juni 2023. Microsoft vurderer at motivet bak disse aktivitetene er informasjonsinnsanking.

Nordkoreanske aktører tar i bruk bakdører til legitim programvare

Nordkoreanske trusselaktører brukte også bakdører til legitim programvare ved å utnytte sårbarheter i eksisterende programvare. I første halvdel av 2023 brukte Diamond Sleet stadig vekk skadelig VNC-programvare til å kompromittere ofrene. Diamond Sleet fortsatte også med å bruke skadelig PDF-leserprogramvare som våpen i juli 2023, teknikker som Microsoft trusselinformasjon analyserte i et blogginnlegg i september 2022.22 Ruby Sleet brukte også trolig et bakdørinstallasjonsprogram i et sørkoreansk elektronikkdokumentprogram i desember 2023.

Nord-Korea brukte kunstig intelligens-verktøy for å kunne utføre skadelige cyberaktiviteter

Nordkoreanske trusselaktører tilpasser seg til tidsalderen for kunstig intelligens. De lærer å bruke verktøy drevet av store språkmodeller (LLM) med kunstig intelligens for å gjøre operasjonene mer effektive og virkningsfulle. Microsoft og Open AI observerte for eksempel at Emerald Sleet brukte store språkmodeller (LLM) til å forbedre målrettede phishing-kampanjer mot eksperter på Koreahalvøya.23 Emerald Sleet brukte LLM-er til å undersøke sårbarheter og utføre rekognosering på organisasjoner og eksperter fokusert på Nord-Korea. Emerald Sleet brukte også LLM-er til å feilsøke tekniske problemer, utføre grunnleggende skriptingoppgaver og skrive innhold i målrettede phishing-meldinger. Microsoft samarbeidet med OpenAI om å deaktivere kontorer og ressurser forbundet med Emerald Sleet.

Kina skal feire 75-årsdagen for grunnleggelsen av Folkerepublikken Kina i oktober, og Nord-Korea kommer til å fortsette sitt viktige, avanserte våpenprogram. Samtidig skal befolkningene i India, Sør-Korea og USA stemme ved valg, og vi kommer nok til å se kinesiske cyber- og påvirkningsaktører og i en viss grad nordkoreanske cyberaktører jobbe med å bruke disse valgene som mål.

Kina kommer i det minste til å skape og forsterke innhold generert av kunstig intelligens som støtter deres posisjoner i disse høyprofilerte valgene. Slikt innhold har fortsatt liten innvirkning på målgruppenes meninger, men Kinas stadige eksperimentering med forsterkning av memer, videoer og lyd kommer til å fortsette og kan vise seg å bli virkningsfullt senere. Mens kinesiske cyberaktører lenge har utført rekognosering av amerikanske politiske institusjoner, venter vi å se påvirkningsaktører som samhandler med amerikanere for engasjement og muligens for å forske på perspektiver i amerikansk politikk.

Til slutt, etter hvert som Nord-Koreas myndigheter setter seg nye mål og forfølger ambisiøse planer for våpentesting, kan vi forvente stadig mer sofistikerte kryprovalutatyverier og angrep på programvare i forsyningskjeder rettet mot forsvarssektoren, både for å kanalisere penger til regimet og legge til rette for utvikling av nye militære evner.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 January 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    «Mulig Spamouflage-kampanje fra Kina retter angrep mot flere titalls kanadiske parlamentsmedlemmer i feilinformasjonskampanje.» Oktober 2023

  8. [8]
  9. [9]

    Flere kilder har dokumentert den kinesiske regjeringens pågående propagandakampanje med formålet å utløse internasjonal vrede over Japans avgjørelse om å slippe ut radioaktivt avfallsvann fra atomulykken i Fukushima Daiichi i 2011. Se: «China’s Disinformation Fuels Anger Over Fukushima Water Release», 31. august 2023«Japan targeted by Chinese propaganda and covert online campaign», 8. juni 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Cyberbaserte påvirkningsoperasjoner Nasjonalstat Rapporter om nasjonalstater Sosial manipulering Trusselaktører

Relaterte artikler

Digitale trusler fra Øst-Asia øker i omfang og effektivitet

Bli med og utforsk fremvoksende trender i Øst-Asias stadig endrende trussellandskap, der Kina utfører både utstrakte cyber- og påvirkningsoperasjoner, mens nordkoreanske cybertrusselaktører stadig blir mer sofistikerte.
Mer informasjon

Svindel gjennom sosial manipulering får næring fra tillitsøkonomien

Utforsk et digitalt landskap i endring, hvor tillit er både en valuta og en sårbarhet. Oppdag svindeltaktikken med sosial manipulering som cyberangripere bruker mest, og se gjennom strategier som kan hjelpe deg med å utmanøvrere trusler fra sosial manipulering, som har til hensikt å lure mennesker.
Mer informasjon

Iran øker cyberbaserte påvirkningsoperasjoner til støtte for Hamas

Få mer informasjon om Irans cyberbaserte påvirkningsoperasjoner til støtte for Hamas i Israel. Finn ut hvordan operasjonene har utviklet seg gjennom forskjellige stadier av krigen, og utforsk de fire viktigste taktikkene, teknikkene og prosedyrene for påvirkning som Iran bruker mest.
Mer informasjon

Følg Microsoft Sikkerhet