Trace Id is missing

Dezelfde doelwitten, nieuwe playbooks: Bedreigingsactoren uit Oost-Azië gebruiken unieke methoden

Download
Deel
Abstracte illustratie van een marineschip met grafische rode cirkels en zwarte gaaselementen tegen een roze achtergrond.

Sinds juni 2023 heeft Microsoft verschillende opmerkelijke cyber- en beïnvloedingstrends vanuit China en Noord-Korea waargenomen. Deze trends demonstreren dat de aandacht voor de eerdere doelwitten is toegenomen, maar ook dat er pogingen worden ondernomen om geavanceerdere beïnvloedingstechnieken te gebruiken voor het bereiken van hun doelen.

Chinese cyberactoren hebben in de afgelopen zeven maanden in het algemeen drie doelgebieden geselecteerd:

  • Eén set Chinese actoren heeft uitvoerig entiteiten van eilanden in de Grote Oceaan aangevallen.
  • Een tweede set Chinese activiteit is de voortgang van een reeks cyberaanvallen op regionale tegenstanders in de regio van de Zuid-Chinese Zee.
  • Ondertussen compromitteerde een derde set Chinese actoren de industriële defensiebasis van de VS.

Chinese beïnvloedingsactoren verfijnden hun technieken en experimenteerden met nieuwe media, in plaats van het geografische bereik van hun doelen te verbreden. Chinese beïnvloedingscampagnes blijven door AI gegenereerde en verbeterde inhoud verfijnen. De beïnvloedingsactoren achter deze campagnes hebben zich bereid getoond om door AI gegenereerde media te versterken in het voordeel van hun strategische verhaallijnen, én om hun eigen inhoud te maken (video's, memes en audio). Deze tactieken zijn toegepast in campagnes die stoken in divisies in de Verenigde Staten en die conflicten verslechteren in de regio Azië-Pacific (inclusief Taiwan, Japan en Zuid-Korea). Deze campagnes hebben verschillende niveaus van weerklank gevonden, zonder dat er een enkelvoudige formule is die zorgt voor consistente betrokkenheid van de doelgroep.

Noord-Koreaanse cyberactoren haalden het nieuws door toenemende aanvallen op softwaretoeleveringsketens en de diefstal van cryptovaluta in het afgelopen jaar. Hoewel strategische campagnes met spear phishing (gericht op onderzoekers die het Koreaans Schiereiland bestuderen) een constante trend bleven, leken Noord-Koreaanse bedreigingsactoren meer gebruik te maken van legitieme software voor het compromitteren van nog meer slachtoffers.

Gingham Typhoon richt zich op entiteiten (overheden, IT en multinationals) van eilanden in de Grote Oceaan

Tijdens de zomer van 2023 heeft Microsoft Bedreigingsinformatie uitvoerige activiteit waargenomen van de uit China afkomstige spionagegroep Gingham Typhoon. Bijna elk land van de eilanden in de Grote Oceaan was een doelwit. Gingham Typhoon is de actiefste actor in deze regio. De groep treft internationale organisaties, overheidsentiteiten en de IT-sector met complexe phishingcampagnes. Uitgesproken critici van de Chinese overheid zijn ook het slachtoffer.

Diplomatieke bondgenoten van China die het slachtoffer waren van recente activiteit van Gingham Typhoon, zijn onder andere uitvoerende bureaus van de overheid, handelsgerelateerde afdelingen, internetproviders en een entiteit in de transport.

Verhoogde geopolitieke en diplomatieke concurrentie in de regio kunnen drijfveren zijn voor deze offensieve cyberactiviteiten. China houdt de strategische partnerschappen met naties van eilanden in de Grote Oceaan om de economische banden te versterken en te bemiddelen voor diplomatieke en beveiligingsovereenkomsten. De Chinese cyberspionage in deze regio volgt ook economische partners.

Chinese actoren hebben bijvoorbeeld grootschalig aanvallen uitgevoerd op multinationals in Papoea-Nieuw-Guinea, sinds lange tijd een diplomatieke partner. Papoea-Nieuw-Guinea profiteert van meerdere projecten voor de Nieuwe Zijderoute (Belt and Road Initiative, of BRI), inclusief de aanleg van een belangrijke snelweg die een overheidsgebouw van Papoea-Nieuw-Guinea verbindt met de hoofdweg van de hoofdstad.1

Kaart ter illustratie van de frequentie van gerichte cyberbedreigingen in eilandnaties in de Stille Oceaan, met grotere cirkels
Afbeelding 1: Waargenomen gebeurtenissen in verband met Gingham Typhoon tussen juni 2023 en januari 2024. Deze activiteit toont een voortdurende focus op eilandnaties in de Stille Oceaan. Deze voortdurende targeting weerspiegelt een focus op de regio die al gedurende vele jaren aan de gang is. Geografische locaties en diameter van symboliek zijn representatief.

Chinese bedreigingsactoren blijven gefocust op de Zuid-Chinese Zee tijdens oefeningen van westerse legers

Chinese bedreigingsactoren blijven entiteiten aanvallen die zijn gerelateerd aan de economische en militaire belangen van China in en rond de Zuid-Chinese Zee. Deze actoren compromitteerden opportunistisch overheden en telecommunicatiebedrijven van ASEAN (Association of Southeast Asian Nations, de Associatie van Zuidoost-Aziatische Naties). Aan de Chinese staat gerelateerde cyberactoren lijken vooral geïnteresseerd te zijn in doelwitten die zijn gerelateerd aan de talloze oefeningen van het Amerikaanse leger in de regio. In juni 2023 slaagde een aanval van Raspberry Typhoon, een nation-state activiteitengroep afkomstig uit China. De doelwitten waren militaire en leidinggevende entiteiten in Indonesië en een Maleisisch maritiem systeem, voorafgaand aan een veelzijdige maritieme oefening van Indonesië, China en de Verenigde Staten.

Op dezelfde manier werden door een andere Chinese cyberactor (Flax Typhoon) entiteiten aangevallen die betrokken waren bij militaire oefeningen van de VS en de Filipijnen. In dezelfde periode compromitteerde nog een andere uit China afkomstige bedreigingsactor (Granite Typhoon) voornamelijk entiteiten in de telecommunicatie in de regio, met slachtoffers in Indonesië, Maleisië, de Filipijnen, Cambodja en Taiwan.

Sinds de publicatie van het Microsoft-blog over Flax Typhoon heeft Microsoft in de vroege herfst en winter van 2023 nieuwe doelwitten van Flax Typhoon waargenomen in de Filipijnen, Hongkong, India en de Verenigde Staten.2 Deze actor valt ook vaak de telecommunicatiesector aan, wat vaak leidt tot gevolgen downstream.

Kaart met gegevens van Microsoft Bedreigingsinformatie over de regio's in Azië die het vaakst het doelwit waren.
Afbeelding 2: Waargenomen gebeurtenissen in verband met Flax Typhoon, Granite Typhoon en Raspberry Typhoon, gericht op landen in of rond de Zuid-Chinese Zee. Geografische locaties en diameter van symboliek zijn representatief.

Nylon Typhoon compromitteert wereldwijd entiteiten van buitenlandse zaken

De uit China afkomstige bedreigingsactor Nylon Typhoon valt al een lange tijd entiteiten van buitenlandse zaken aan in landen over de hele wereld. Tussen juni en december 2023 is Nylon Typhoon waargenomen door Microsoft bij overheidsentiteiten in Zuid-Amerika, waaronder in Brazilië, Guatemala, Costa Rica en Peru. De bedreigingsactor is ook waargenomen in Europa, waar deze overheidsentiteiten compromitteerde in Portugal, Frankrijk, Spanje, Italië en het Verenigd Koninkrijk. Hoewel de meeste Europese doelwitten overheidsentiteiten waren, zijn ook enkele IT-bedrijven gecompromitteerd. Het doel van deze aanvallen is informatieverzameling.

Chinese bedreigingsgroep valt militaire entiteiten en kritieke infrastructuur aan in de Verenigde Staten

Ten slotte nam de activiteit van Storm-0062 toe in de herfst en winter van 2023. Veel van deze activiteit bestond uit het compromitteren van aan de Amerikaanse defensie gerelateerde overheidsentiteiten, inclusief aannemers die technische engineeringservices bieden voor de luchtvaart, defensie en natuurlijke resources die essentieel zijn voor de Amerikaanse nationale veiligheid. Daarnaast viel Storm-0062 herhaaldelijk militaire entiteiten aan in de Verenigde Staten. Het is echter niet duidelijk of de groep succes had in deze pogingen tot inbreuk.

De industriële defensiebasis van de VS blijft ook een doelwit voor Volt Typhoon. In mei 2023 heeft Microsoft aanvallen op Amerikaanse organisaties met kritieke infrastructuur toegeschreven aan Volt Typhoon, een door de staat gesponsorde actor in China. Volt Typhoon kreeg toegang tot de netwerken van de organisaties met 'living-off-the-land'-technieken en aangepaste activiteit ('hands-on-keyboard').3 Met deze tactieken kon Volt Typhoon heimelijk onbevoegde toegang houden tot doelgerichte netwerken. Van juni tot december 2023 bleef Volt Typhoon kritieke infrastructuur aanvallen. Daarnaast bleef de groep proberen om hun middelen te ontwikkelen door apparaten van kleine kantoren en thuiskantoren in de Verenigde Staten te compromitteren.

In ons rapport van september 2023 gaven we details over assets van Chinese beïnvloedingsoperaties die beginnend generatieve AI gebruiken voor het maken van strakke, interessante visuele inhoud. In de zomer bleef Microsoft Bedreigingsinformatie door AI gegenereerde memes identificeren. Deze memes waren gericht op de Verenigde Staten en het versterken van controversiële binnenlandse problemen, ze bekritiseerden de huidige regering. Aan China gekoppelde beïnvloedingsactoren blijven door AI verbeterde en gegenereerde media (vanaf hier: 'AI-inhoud') gebruiken in beïnvloedingscampagnes. Gedurende het jaar nam het volume en de regelmaat van het gebruik toe.

AI groeit (maar kan niet overtuigen)

De productiefste actor die gebruikmaakt van AI wordt door Microsoft aangeduid als Storm-1376. Deze actor is gekoppeld aan de Chinese Communistische Partij (CCP) en is algemeen bekend als 'Spamouflage' en 'Dragonbridge'. In de winter begonnen andere aan de CCP gekoppelde actoren gebruik te maken van een breder scala aan AI-inhoud om onlinebeïnvloedingsoperaties te verbeteren. Een deel hiervan was een opmerkelijke toename van inhoud met Taiwanese politieke figuren, voorafgaand aan de presidents- en parlementsverkiezingen op 13 januari. Dit was de eerste keer dat Microsoft Bedreigingsinformatie getuige was van een nation-state actor die AI-inhoud gebruikt om een buitenlandse verkiezing te beïnvloeden.

Door AI gegenereerde audio: Op de verkiezingsdag in Taiwan postte Storm-1376 verdachte door AI gegenereerde audioclips van Terry Gou, eigenaar van Foxconn en kandidaat van de onafhankelijke partij in de Taiwanese presidentsverkiezingen. In november 2023 trok Gou zich terug uit de strijd. De audio-opnamen bevatten de stem van Gou die een andere kandidaat in de presidentsverkiezingen onderschreef. De stem van Gou in de opnamen is waarschijnlijk door AI gegenereerd, omdat Gou deze uitspraak niet heeft gedaan. YouTube greep snel in om te voorkomen dat een groot aantal gebruikers de inhoud zou zien. Deze video's volgden enkele dagen nadat een nepbrief online circuleerde. In deze nepbrief onderschrijft Terry Gou dezelfde kandidaat. Vooraanstaande Taiwanese organisaties in factchecking hebben de brief ontkracht ('gedebunkt'). Gou's campagneteam heeft ook verklaard dat de brief nep is en dat er juridische actie wordt ondernomen als reactie.4 Gou heeft formeel nooit een presidentskandidaat in de race onderschreven.
Een man in een pak die een toespraak houdt op een podium, met een Chinese tekst en een afbeelding van een audiogolfvorm op de voorgrond.
Afbeelding 3: Video's gepubliceerd gedurende Storm-1376 bevatten door AI gegenereerde stemopnamen van Terry Gou die de schijn wekten dat hij een andere kandidaat steunde.
Door AI gegenereerde nieuwslezers: Door AI gegenereerde nieuwslezers verschenen in een verscheidenheid aan campagnes met Taiwanese ambtenaren5 en in berichten over Myanmar. Specifiek deze nieuwslezers zijn gegenereerd door derden (technologiebedrijven) met gebruik van Capcut, het hulpprogramma van het Chinese technologiebedrijf ByteDance. Storm-1376 heeft sinds minstens februari 2023 gebruikgemaakt van soortgelijke door AI gegenereerde nieuwslezers6, maar het volume van de inhoud met deze nieuwslezers is toegenomen in de afgelopen maanden.
Een collage van een militair voertuig
Afbeelding 4: Gedurende Storm-1376 werden er video's in het Mandarijn en het Engels geplaatst met beweringen dat de Verenigde Staten en India verantwoordelijk waren voor onrust in Myanmar. In sommige van deze video's wordt hetzelfde door AI gegenereerde anker gebruikt.
Door AI verbeterde video's: Zoals de Canadese overheid en andere onderzoekers bekend hebben gemaakt, is de gelijkenis van een Chinese dissident (die zich in Canada bevindt) gebruikt in door AI verbeterde video's. Deze video's waren gericht tegen Canadese Kamerleden7 en slechts onderdeel van een campagne op meerdere platformen, inclusief het intimideren van Canadese politici op hun socialemedia-accounts. In de video's werd valselijk voorgesteld dat de dissident opruiende opmerkingen maakt over de Canadese overheid. Soortgelijke door AI verbeterde video's zijn eerder ook gebruikt tegen deze dissident.
Een persoon die aan een bureau zit
Afbeelding 5: Door AI gemaakte deepfake-video's van de dissident die op een denigrerende manier over religie spreekt. De gebruikte tactieken zijn vergelijkbaar met die van de campagne in Canada, maar deze video's lijken inhoudelijk niet gerelateerd te zijn.
Door AI gegenereerde memes: Storm-1376 heeft in december een serie door AI gegenereerde memes gepromoot waarin William Lai te zien is, de toenmalige presidentskandidaat van de Democratische Progressieve Partij (DPP). In de memes wordt afgeteld met 'nog X dagen' om de macht van de DPP te ontnemen.
Grafische weergave met twee afbeeldingen naast elkaar, een met een figuur met een rode x en de andere met dezelfde figuur zonder markering,
Afbeelding 6: Door AI gegenereerde memes beschuldigen DPP-presidentskandidaat William Lai van verduistering van fondsen uit het ontwikkelingsprogramma voor de toekomstige infrastructuur van Taiwan. Deze memes bevatten vereenvoudigde karakters (gebruikt in de Volksrepubliek China, maar niet in Taiwan) en maakten deel uit van een serie met een dagelijkse countdown tot aan het moment dat de DPP uit de macht zou worden verdreven.
Infographic van de tijdlijn en de invloed van door AI gegenereerde inhoud op de verkiezingen in Taiwan tussen december 2023 en januari 2024.
Afbeelding 7: Een tijdlijn van door AI gegenereerde en verbeterde inhoud die verscheen in de aanloop naar de Taiwanese presidents- en parlementsverkiezingen van januari 2024. Met Storm-1376 werden delen van deze inhoud verder uitgebreid en werd er nieuwe inhoud gemaakt gedurende twee campagnes.

Storm-1376 blijft reactieve berichten verzenden, soms met complottheorieën

Het bereik van de beïnvloedingsoperaties van actor Storm-1376 beslaat 175 websites en 58 talen. De actor organiseert nog steeds regelmatig campagnes met reactieve berichten rond geopolitieke gebeurtenissen die veel aandacht krijgen, vooral berichten die de Verenigde Staten in een kwaad daglicht stellen of de interesse van de CCP in de APAC-regio doen toenemen. Sinds ons laatste rapport in september 2023 hebben deze campagnes zich op verschillende belangrijke manieren ontwikkeld. Ze bevatten nu bijvoorbeeld door AI gegenereerde foto's om doelgroepen te misleiden, om complottheorieën te voeden (vooral die tegen de Amerikaanse overheid) en om nieuwe bevolkingen aan te vallen met gelokaliseerde inhoud (bijvoorbeeld Zuid-Korea).

1. Het claimen dat de Amerikaanse overheid een 'weerwapen' heeft ingezet om de natuurbranden in Hawaii te stichten

In augustus 2023 woedden natuurbranden aan de noordwestelijke kust van Maui, Hawaii. Storm-1376 maakte gebruik van de gelegenheid om complottheorieën te verspreiden op meerdere socialemediaplatformen. Deze posts beschuldigden de Amerikaanse overheid van het opzettelijk stichten van de branden voor het testen van een militair 'weerwapen'. De tekst werd in minstens 31 talen gepost op tientallen websites en platformen. Daarnaast gebruikte Storm-1376 door AI gegenereerde afbeeldingen van brandende kustwegen en -woningen om de inhoud nog aantrekkelijker te maken.8

Een samengestelde afbeelding met een 'nep'-stempel boven scènes van dramatische branden.
Afbeelding 8: Door Storm-1376 gemaakte inhoud met complottheorieën die binnen enkele dagen na het uitbreken van de bosbranden werd geplaatst met de bewering dat de branden het resultaat waren van een 'meteorologisch wapen' dat door de Amerikaanse overheid werd getest. Deze berichten werden vaak gecombineerd met door AI gegenereerde foto 's van enorme branden.

2. Het versterken van de verontwaardiging over de afvoer van nucleair afvalwater door Japan

Storm-1376 startte een grootschalige, agressieve berichtencampagne om de Japanse overheid te bekritiseren nadat Japan op 24 augustus 2023 behandeld radioactief afvalwater begon te lozen in de Grote Oceaan.9 De inhoud van Storm-1376 was bedoeld om twijfel te zaaien over de wetenschappelijke beoordeling van het International Atomic Energy Agency (IAEA) of de afvoer wel veilig was. Storm-1376 verspreidde willekeurig berichten op verschillende socialemediaplatformen in allerlei talen, waaronder Japans, Koreaans en Engels. Sommige inhoud beschuldigde zelfs de Verenigde Staten van het opzettelijk vergiftigen van andere landen om de 'waterhegemonie' (een hydraulische samenleving) te behouden. De inhoud die in deze campagne werd gebruikt, heeft de kenmerken van door AI gegenereerde inhoud.

In sommige gevallen gebruikte Storm-1376 inhoud die eerder al door andere actoren was gebruikt in het Chinese ecosysteem van propaganda, inclusief door aan de Chinese staatsmedia gerelateerde influencers op sociale media.10 Influencers en assets van Storm-1376 uploadden drie identieke video's die het lozen van het afvalwater van Fukushima bekritiseerden. Dit soort posts van verschillende actoren die identieke inhoud gebruiken en die met elkaar in overeenstemming lijken (wat duidt op berichtencoördinatie of aansturing), zijn in de loop van 2023 in aantal toegenomen.

Een samengestelde afbeelding met een satirische illustratie van mensen, een schermopname van een video met Godzilla en een post op sociale media
Afbeelding 9: Door AI gegenereerde memes en afbeeldingen die kritisch zijn over de afvoer van afvalwater in Fukushima, afkomstig van geheime Chinese beïnvloedingsmiddelen (links) en Chinese overheidsfunctionarissen (midden). Influencers gelieerd aan Chinese staatsmedia verspreidden ook de door de overheid aangestuurde berichten die kritisch waren over de afvoer (rechts).

3. Het zaaien van verdeeldheid in Zuid-Korea

Gerelateerd aan het lozen van het afvalwater van Fukushima, ondernam Storm-1376 een gecoördineerde poging om zich op Zuid-Korea te richten. Dit deed de groep met gelokaliseerde inhoud waarin protesten in het land tegen de lozing werden versterkt en met kritische inhoud over de Japanse overheid. Deze campagne bevatte honderden posts in het Koreaans op meerdere platformen en websites, inclusief Zuid-Koreaanse socialemediasites zoals Kakao Story, Tistory en Velog.io.11

Als onderdeel van deze gerichte campagne versterkte Storm-1376 actief opmerkingen en acties van Lee Jae-myung (이재명, 李在明), leider van de Minju-partij en verliezend presidentskandidaat in 2022. Lee bekritiseerde de Japanse zet als 'terreur met vervuild water', vergelijkbaar met een 'Tweede Pacifische Oorlog'. Hij beschuldigde ook de huidige Zuid-Koreaanse overheid dat het een 'medeplichtige door de ondersteuning' van de Japanse beslissing zou zijn. Uit protest ging hij 24 dagen in hongerstaking.12

Stripverhaal met vier panelen over milieuvervuiling en de impact ervan op het zeeleven.
Afbeelding 10: Koreaanse memes van het Zuid-Koreaanse blogplatform Tistory versterken de onenigheid over de afvoer van afvalwater in Fukushima.

4. De ontsporing in Kentucky

Tijdens Thanksgiving in november 2023 ontspoorde een trein met gesmolten zwavel aan boord in Rockcastle Country, Kentucky. Ongeveer een week na de ontsporing startte Storm-1376 een socialemediacampagne waarin de ontsporing werd verergerd, complottheorieën in het nadeel van de Amerikaanse overheid werden verspreid en politieke verdeeldheid onder Amerikaanse kiezers werd benadrukt. Uiteindelijk moest de campagne leiden tot het wantrouwen van en een teleurstelling in de Amerikaanse overheid. Storm-1376 riep de doelgroepen op om na te denken of de Amerikaanse overheid de ontsporing met opzet heeft veroorzaakt en 'bewust iets verbergt'.13 Enkele berichten vergeleken de ontsporing zelfs met doofpottheorieën over 9/11 en Pearl Harbor.14

Chinese sokpoppen van beïnvloedingsoperaties zijn op zoek naar perspectieven op politieke onderwerpen in de Verenigde Staten

In ons rapport van september 2023 hebben we uitgelicht hoe aan de CCP gerelateerde socialemedia-accounts kiezers uit de Verenigde Staten begonnen te imiteren. De accounts deden zich voor als Amerikanen in het politieke spectrum en reageerden op opmerkingen van authentieke gebruikers.15 Deze pogingen om de 'midterm'-verkiezingen te beïnvloeden (verkiezingen van 2022 in de Verenigde Staten), was de eerste waargenomen Chinese beïnvloedingsoperatie.

Het Microsoft Threat Analysis Center (MTAC) heeft een kleine maar stabiele toename waargenomen in het aantal sokpopaccounts waarvan we met gemiddelde zekerheid beoordelen dat deze worden beheerd door de CCP. Op X (voorheen Twitter) waren deze accounts al gemaakt in 2012 en 2013, maar ze begonnen pas te posten namens hun huidige persona's in begin 2023. Dit lijkt erop dat de accounts onlangs zijn aangekocht of dat ze een nieuw doel hebben gekregen. Deze sokpoppen posten zowel origineel geproduceerde video's, memes en infographics als opnieuw gebruikte inhoud van andere politieke accounts met een hoog profiel. Deze accounts posten bijna exclusief over binnenlandse problemen in de Verenigde Staten (variërend van drugsgebruik, immigratiebeleid en raciale spanningen). Soms plaatsen ze opmerkingen bij onderwerpen die van belang zijn voor China, bijvoorbeeld het lozen van het afvalwater van Fukushima en Chinese dissidenten.

Een schermopname van een computer met teksten over oorlog en conflicten, rassenverhoudingen, drugsproblemen, enzovoort.
Afbeelding 11: Gedurende de zomer en de herfst gebruikten Chinese sokpoppen en persona's vaak boeiende visuals, soms verbeterd door generatieve AI, bij hun berichten over politieke kwesties en actuele gebeurtenissen in de VS.
Naast het posten van politiek gemotiveerde infographics en video's, vragen deze accounts vaak aan de volgers of ze het met het onderwerp eens zijn. Enkele van deze accounts hebben posts geplaatst over verschillende presidentskandidaten en vervolgens de volgers gevraagd om te reageren of ze de kandidaat ondersteunen of niet. Het doel van deze tactiek kan het zoeken naar grotere betrokkenheid zijn, maar ook om inzicht te krijgen in de kijk van Amerikanen op de Amerikaanse politiek. Meer van dit soort accounts kan actief zijn voor meer informatieverzameling over belangrijke kiezersgroepen in de Verenigde Staten.
Vergelijking van beelden op een gesplitst scherm, met links een militair vliegtuig dat opstijgt vanaf een vliegdekschip en rechts een groep mensen die achter een slagboom zitten
Afbeelding 12: Chinese sokpoppen vragen de mening van andere gebruikers op X over politieke onderwerpen

In 2023 stalen Noord-Koreaanse cyberbedreigingsactoren honderden miljoenen dollars aan cryptovaluta, voerden ze aanvallen uit op softwaretoeleveringsketens en richtten ze zich op de vermeende vijanden van hun nationale veiligheid. Hun operaties genereren opbrengsten voor de Noord-Koreaanse overheid, vooral voor het wapenprogramma, en verzamelen informatie over de Verenigde Staten, Zuid-Korea en Japan.16

Infographics met de sectoren en landen die het vaakst het doelwit waren van cyberbedreigingen.
Afbeelding 13: De sectoren en landen die het meest werden getarget door Noord-Korea tussen juni 2023 en januari 2024 (gebaseerd op door Microsoft Bedreigingsinformatie verzamelde gegevens uit meldingen van natiestaten).

Noord-Koreaanse cyberactoren stelen een recordbedrag aan cryptovaluta om opbrengsten voor de staat te genereren.

De Verenigde Naties schatten dat Noord-Koreaanse cyberactoren sinds 2017 meer dan USD 3 miljard aan cryptovaluta hebben gestolen.17 Alleen al in 2023 vonden er diefstallen plaats van in totaal tussen de USD 600 miljoen en USD 1 miljard. Deze gestolen middelen financieren naar verluidt meer dan de helft van het nucleaire en rakettenprogramma van het land, zodat Noord-Korea ondanks sancties het wapenarsenaal kan blijven uitbreiden en testen.18 Noord-Korea heeft in het afgelopen jaar talloze rakettesten en militaire oefeningen uitgevoerd. Op 21 november 2023 heeft het land zelfs met succes een militaire verkenningssatelliet in de ruimte gelanceerd.19

Drie bedreigingsactoren die worden bijgehouden door Microsoft (Jade Sleet, Sapphire Sleet en Citrine Sleet), hebben zich sinds juni 2023 het meest gefocust op cryptovaluta. Jade Sleet heeft grote diefstallen van cryptovaluta gepleegd. Sapphire Sleet heeft kleinere diefstallen van cryptovaluta gepleegd, maar met grotere regelmaat. In begin juni 2023 werd minstens USD 35 miljoen gestolen van een Estlands bedrijf in cryptovaluta. Microsoft heeft deze diefstal toegeschreven aan Jade Sleet. Een maand later werd USD 125 miljoen gestolen van een Singaporees platform in cryptovaluta. Microsoft heeft deze diefstal ook toegeschreven aan Jade Sleet. In Augustus 2023 begon Jade Sleet onlinecasino's met cryptovaluta te compromitteren.

Sapphire Sleet heeft zich consistent beziggehouden met het compromitteren van werknemers, inclusief leidinggevenden en ontwikkelaars van organisaties in cryptovaluta, risicokapitaal en andere financiële organisaties. Sapphire Sleet heeft ook nieuwe technieken ontwikkeld, bijvoorbeeld het verzenden van nepuitnodigingen voor virtuele Vergade­ringen met koppelingen naar een domein van de aanvaller en het registreren van nepvacaturesites. Citrine Sleet volgde de aanval op de 3CX-toeleveringsketen van maart 2023 op met het compromitteren van een downstream Turks bedrijf in cryptovaluta en digitale assets. Het slachtoffer hostte een kwetsbare versie van de 3CX-toepassing die is gekoppeld aan de inbreuk op de toeleveringsketen.

Noord-Koreaanse cyberactoren bedreigen de IT-sector met spear phishing en aanvallen op de softwaretoeleveringsketen

Noord-Koreaanse bedreigingsactoren hebben ook aanvallen uitgevoerd op de softwaretoeleveringsketen van IT-bedrijven, leidend tot toegang tot downstream klanten. Jade Sleet gebruikte GitHub-opslagplaatsen en bewapende npm-pakketten in een campagne met social engineering en spear phishing, gericht op werknemers van organisaties in cryptovaluta en technologie.20 De aanvallers imiteerden ontwikkelaars en recruiters, nodigden slachtoffers uit om samen te werken in een GitHub-opslagplaats en overtuigden ze om de inhoud ervan (inclusief kwaadaardige npm-pakketten) te klonen en uit te voeren. In augustus 2023 compromitteerde Diamond Sleet de toeleveringsketen van een Duits IT-bedrijf. De actor bewapende een toepassing van een Taiwanees IT-bedrijf om in november 2023 een aanval op de toeleveringsketen uit te voeren. Zowel Diamond Sleet als Onyx Sleet maakte in oktober 2023 gebruik van het beveiligingsprobleem CVE-2023-42793 van TeamCity, waardoor aanvallers een code extern kunnen uitvoeren en beheerderscontrole over de server kunnen krijgen. Diamond Sleet gebruikte deze techniek om honderden slachtoffers te compromitteren in verschillende branches in de Verenigde Staten en in Europese landen, inclusief het Verenigd Koninkrijk, Denemarken, Ierland en Duitsland. Onyx Sleet maakte gebruik van hetzelfde beveiligingsprobleem om minstens 10 slachtoffers te compromitteren, inclusief een softwareprovider in Australië en een overheidsinstantie in Noorwegen. De actor gebruikte hulpprogramma's na de inbreuk om extra payloads uit te voeren.

Noord-Koreaanse cyberactoren richten zich op de Verenigde Staten, Zuid-Korea en hun bondgenoten

Noord-Koreaanse bedreigingsactoren blijven de vermeende vijanden van hun nationale veiligheid aanvallen. Deze cyberactiviteit is illustrerend voor het Noord-Koreaanse geopolitieke doel: het tegenwerken van de trilaterale alliantie tussen de Verenigde Staten, Zuid-Korea en Japan. De leiders van deze drie landen bevestigden het partnerschap nog eens in augustus 2023 tijdens de Camp David-conferentie.21 Ruby Sleet en Onyx Sleet zetten hun trends voort en blijven luchtvaart- en defensieorganisaties in de Verenigde Staten en Zuid-Korea aanvallen. Emerald Sleet gaat door met de campagne met verkenning en spear phishing tegen diplomaten en experts in het Koreaans Schiereiland bij de overheid, in denktanks/NGO's, de media en het onderwijs. Pearl Sleet bleef in juni 2023 aanvallen uitvoeren op Zuid-Koreaanse entiteiten die zich samen met Noord-Koreaanse overlopers en activisten focussen op problemen met de mensenrechten in Noord-Korea. Microsoft beoordeelt dat informatieverzameling de drijfveer achter deze activiteiten is.

Noord-Koreaanse actoren implementeren achterdeuren in legitieme software

Noord-Koreaanse bedreigingsactoren hebben ook achterdeuren gebruikt in legitieme software, inspelend op beveiligingsproblemen van bestaande software. In de eerste helft van 2023 gebruikte Diamond Sleet regelmatig bewapende VNC-malware om slachtoffers te compromitteren. Diamond Sleet ging in juli 2023 ook door met het gebruiken van bewapende malware voor PDF-lezers. Deze technieken analyseerde Microsoft Bedreigingsinformatie in september 2022 in een blogpost.22 In december 2023 gebruikte Ruby Sleet waarschijnlijk ook een installatieprogramma via de achterdeur van een Zuid-Koreaans programma voor elektronische documenten.

Noord-Korea gebruikt AI-hulpprogramma's voor kwaadaardige cyberaanvallen

Noord-Koreaanse bedreigingsactoren passen zich aan het tijdperk van AI aan. Ze leren hulpprogramma's te gebruiken die mogelijk worden gemaakt met grote AI-taalmodellen (LLM's) om hun operaties efficiënter en effectiever te maken. Microsoft en OpenAI hebben bijvoorbeeld waargenomen dat Emerald Sleet gebruikmaakt van LLM's voor het verbeteren van campagnes met spear phishing die gericht zijn op experts in het Koreaans Schiereiland.23 Emerald Sleet gebruikte LLM's voor onderzoek naar beveiligingsproblemen en om verkenningen uit te voeren bij organisaties en experts die zich focussen op Noord-Korea. Emerald Sleet maakte ook gebruik van LLM's voor het oplossen van technische problemen, voor basistaken voor het uitvoeren van scripts en voor het opstellen van concepten voor berichten voor spear phishing. Microsoft is een partnerschap aangegaan met OpenAI voor het uitschakelen van accounts en assets die zijn gerelateerd aan Emerald Sleet.

China viert in oktober de 75e verjaardag van de oprichting van de Volksrepubliek China. Noord-Korea zal belangrijke geavanceerde wapenprogramma's blijven ontwikkelen. Nu de bevolkingen van India, Zuid-Korea en de Verenigde Staten zich opmaken om te gaan stemmen, is het waarschijnlijk dat we gaan zien hoe Chinese cyber- en beïnvloedingsactoren (en in mindere mate Noord-Koreaanse cyberactoren) zich beginnen te richten op deze verkiezingen.

China zal op zijn minst door AI gegenereerde inhoud maken en versterken die in het voordeel van hun positie is tijdens deze aandachttrekkende verkiezingen. Hoewel de invloed van zulke inhoud op zwevende kiezers laag blijft, blijft China in toenemende mate experimenteren met het verbeteren van memes, video's en audio. In de toekomst is deze inhoud misschien wél effectief. Chinese cyberactoren voeren al een lange tijd verkenningen uit bij Amerikaanse politieke instellingen, maar we zijn voorbereid op communicatie tussen beïnvloedingsactoren en Amerikanen voor betrokkenheid en voor potentieel onderzoek naar perspectieven op de politiek in de Verenigde Staten.

Ten slotte, nu Noord-Korea nieuw overheidsbeleid aanneemt en ambitieuze plannen voor het testen van wapens voortzet, kunnen we steeds geavanceerdere diefstallen van cryptovaluta en aanvallen op toeleveringsketens van de defensiesector verwachten. Daarmee brengt Noord-Korea geld binnen voor het regime en faciliteert het de ontwikkeling van nieuwe militaire mogelijkheden.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 januari 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 January 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    'Probable PRC “Spamouflage” campaign targets dozens of Canadian Members of Parliament in disinformation campaign', oktober 2023,

  8. [8]
  9. [9]

    Meerdere bronnen hebben de aanhoudende propagandacampagne van de Chinese overheid gedocumenteerd, die gericht is op de internationale verontwaardiging over de beslissing van Japan om nucleair afvalwater van het nucleair ongeval bij Fukushima Daiichi in 2011 te lozen. Zie: China’s Disinformation Fuels Anger Over Fukushima Water Release', 31 augustus 2023'Japan targeted by Chinese propaganda and covert online campaign', 8 juni 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Cyberbeïnvloedingsoperaties Natiestaat Rapporten over natiestaten Social engineering Bedreigingsactoren

Verwante artikelen

Digitale bedreigingen uit Oost-Azië nemen toe in de reikwijdte en effectiviteit

Lees verder en verken opkomende trends in het zich ontwikkelende landschap van bedreigingen van Oost-Azië, waar China grootschalige cyber- en beïnvloedingsoperaties uitvoert en cyberbedreigingsactoren uit Noord-Korea toenemende geavanceerdheid demonstreren.
Meer informatie

Misbruik maken van de vertrouwenseconomie: fraude via social engineering

Verken een zich ontwikkelend digitaal landschap waarin vertrouwen zowel een valuta als een beveiligingsprobleem is. Ontdek de fraudetactieken met social engineering die cyberaanvallers het meest gebruiken en bekijk strategieën die je kunnen helpen om bedreigingen met social engineering (ontworpen om personen te misleiden) te identificeren en te slim af te zijn.
Meer informatie

Iran gebruikt steeds meer cyber­beïnvloedings­operaties om Hamas te ondersteunen

Ontdek details van Iraanse cyberbeïnvloedingsoperaties die Hamas in Israël ondersteunen. Lees hoe activiteiten zich in de verschillende fasen van de oorlog verder hebben ontwikkeld en onderzoek de vier belangrijkste beïnvloedingstactieken, technieken en procedures waaraan Iran de voorkeur geeft.
Meer informatie

Volg Microsoft Beveiliging