Trace Id is missing

Os mesmos alvos, novos guias estratégicos: Os atores de ameaças do Leste da Ásia empregam métodos exclusivos

Baixar
Compartilhar
Ilustração abstrata de um navio com círculos vermelhos gráficos e elementos de malha preta em um fundo rosa.

A Microsoft observou várias tendências cibernéticas e de influência notáveis da China e da Coreia do Norte desde junho de 2023 que demonstram não apenas a duplicação de alvos conhecidos, mas também tentativas de usar técnicas de influência mais sofisticadas para atingir seus objetivos.

Os agentes cibernéticos chineses selecionaram amplamente três áreas-alvo nos últimos sete meses:

  • Um grupo de atores chineses visou amplamente entidades nas Ilhas do Pacífico Sul.
  • Um segundo conjunto de atividades chinesas deu continuidade a uma série de ataques cibernéticos contra adversários regionais na região do Mar do Sul da China.
  • Enquanto isso, um terceiro grupo de atores chineses comprometeu a base industrial de defesa dos EUA.

Os atores de influência chineses, em vez de ampliar o escopo geográfico de seus alvos, aprimoraram suas técnicas e fizeram experiências com novas mídias. As campanhas de influência chinesas continuaram a refinar o conteúdo gerado ou aprimorado por IA. Os atores de influência por trás dessas campanhas demonstraram disposição para ampliar a mídia gerada por IA que beneficia suas narrativas estratégicas, bem como para criar seu próprio conteúdo de vídeo, memes e áudio. Essas táticas têm sido usadas em campanhas que alimentam as divisões dentro dos Estados Unidos e exacerbam as divisões na região do Pacífico Asiático, incluindo Taiwan, Japão e Coreia do Sul. Essas campanhas alcançaram níveis variados de ressonância sem que nenhuma fórmula singular produzisse uma participação consistente do público.

Os atores cibernéticos norte-coreanos foram manchetes por aumentarem os ataques à cadeia de fornecedores de software e roubos de criptomoedas no ano passado. Embora as campanhas estratégicas de spear-phishing direcionadas a pesquisadores que estudam a Península Coreana tenham permanecido uma tendência constante, os atores de ameaças norte-coreanos pareciam fazer maior uso de software legítimo para comprometer ainda mais vítimas.

O Gingham Typhoon tem como alvo entidades governamentais, de TI e multinacionais nas Ilhas do Pacífico Sul

Durante o verão de 2023, as Informações sobre ameaças da Microsoft observou uma extensa atividade do grupo de espionagem baseado na China, o Gingham Typhoon, que visava quase todos os países das Ilhas do Pacífico Sul. O Gingham Typhoon é o ator mais ativo nessa região, atingindo organizações internacionais, entidades governamentais e o setor de TI com campanhas complexas de phishing. As vítimas também incluíam críticos do governo chinês.

Os aliados diplomáticos da China que foram vítimas da recente atividade do Gingham Typhoon incluem escritórios executivos no governo, departamentos relacionados ao comércio, provedores de serviços de Internet, bem como uma entidade de transporte.

O aumento da concorrência geopolítica e diplomática na região pode ser a motivação para essas atividades cibernéticas ofensivas. A China busca parcerias estratégicas com as nações das Ilhas do Pacífico Sul para expandir os laços econômicos  e intermediar acordos diplomáticos e de segurança. A espionagem cibernética chinesa nessa região também segue os parceiros econômicos.

Por exemplo, os atores chineses se envolveram em ataques em larga escala a organizações multinacionais em Papua Nova Guiné, um parceiro diplomático de longa data que está se beneficiando de vários projetos da BRI (Iniciativa Cinturão e Rota), incluindo a construção de uma grande rodovia que liga um prédio do governo de Papua Nova Guiné à estrada principal da capital.1

Mapa ilustrando a frequência de ameaças cibernéticas direcionadas às nações das ilhas do Pacífico, com círculos maiores indicando maior frequência
Figura 1: Eventos observados do Gingham Typhoon entre junho de 2023 e janeiro de 2024. Essa atividade destaca o foco contínuo nas nações das Ilhas do Pacífico Sul. No entanto, esse foco já é de longa data, refletindo um interesse de anos pela região. As localizações geográficas e o tamanho dos símbolos no mapa são ilustrativos.

Os atores de ameaça chineses mantêm o foco no Mar do Sul da China em meio aos exercícios militares ocidentais

Os atores de ameaças baseados na China continuaram a visar entidades relacionadas aos interesses econômicos e militares da China no Mar do Sul da China e em seus arredores. Esses atores comprometeram de forma oportunista vítimas do governo e das telecomunicações na ASEAN (Associação de Nações do Sudeste Asiático). Os agentes cibernéticos afiliados ao Estado chinês pareciam particularmente interessados em alvos relacionados aos inúmeros exercícios militares dos EUA realizados na região. Em junho de 2023, o Raspberry Typhoon, um grupo de atividade de estado-nação com base na China, atingiu com sucesso entidades militares e executivas na Indonésia e um sistema marítimo da Malásia nas semanas anteriores a um raro exercício naval multilateral envolvendo Indonésia, China e Estados Unidos.

Da mesma forma, entidades relacionadas aos exercícios militares entre os EUA e as Filipinas foram alvo de outro ator cibernético chinês, o Flax Typhoon. Enquanto isso, o Granite Typhoon, outro ator de ameaças baseado na China, comprometeu principalmente entidades de telecomunicações na região durante esse período, com vítimas na Indonésia, Malásia, Filipinas, Camboja e Taiwan.

Desde a publicação do blog da Microsoft sobre o Flax Typhoon, a Microsoft observou novos alvos do Flax Typhoon nos Estados Unidos, Filipinas, Hong Kong e Índia no início do outono e inverno de 2023.2 Esse ator também ataca com frequência o setor de telecomunicações, muitas vezes levando a vários efeitos posteriores.

Mapa exibindo dados das Informações sobre ameaças da Microsoft sobre as regiões mais visadas na Ásia,
Figura 2: Eventos observados visando países no ou ao redor do Mar do Sul da China por Flax Typhoon, Granite Typhoon ou Raspberry Typhoon. Localizações geográficas e diâmetro da simbologia são representativos.

O Nylon Typhoon compromete entidades de assuntos estrangeiros em todo o mundo

O ator de ameaças Nylon Typhoon, baseado na China, continuou sua prática de longa data de atacar entidades de assuntos estrangeiros em países do mundo todo. Entre junho e dezembro de 2023, a Microsoft observou o Nylon Typhoon em entidades governamentais na América do Sul, incluindo Brasil, Costa Rica, Guatemala e Peru. O ator da ameaça também foi observado na Europa, comprometendo entidades governamentais na Espanha, França, Itália, Portugal e Reino Unido. Embora a maioria dos alvos europeus fossem entidades governamentais, algumas empresas de TI também foram comprometidas. O objetivo deste direcionamento é a coleta de inteligência.

Grupo de ameaça chinês tem como alvo entidades militares e de infraestrutura essencial nos Estados Unidos

Por fim, o Storm-0062 teve um aumento de atividade no outono e inverno de 2023. Grande parte dessa atividade comprometeu entidades governamentais relacionadas à defesa dos EUA, incluindo fornecedores que prestam serviços técnicos de engenharia nas áreas aeroespacial, de defesa e de recursos naturais essenciais para a segurança nacional dos EUA. Além disso, o Storm-0062 visou repetidamente entidades militares nos  Estados Unidos; no entanto, não está claro se o grupo foi bem-sucedido em suas tentativas de comprometimento.

A base industrial de defesa dos EUA também continua sendo um alvo constante do Volt Typhoon. Em maio de 2023, a Microsoft atribuiu os ataques às organizações de infraestrutura crítica dos EUA ao Volt Typhoon, um agente patrocinado pelo Estado com sede na China. O Volt Typhoon obteve acesso às redes das organizações por meio de técnicas de "living-off-the-land" e atividades "hands-on-keyboard".3 Essas táticas permitiram que o Volt Typhoon mantivesse furtivamente o acesso não autorizado às redes-alvo. De junho de 2023 a dezembro de 2023, o Volt Typhoon continuou visando a infraestrutura crítica, mas também buscou o desenvolvimento de recursos comprometendo dispositivos de pequenos escritórios e escritórios domésticos (SOHO) nos Estados Unidos.

Em nosso relatório de setembro de 2023, detalhamos como os ativos de OI (operação de influência) chinesa começaram a usar a IA generativa para criar conteúdo visual elegante e envolvente. Durante todo o verão, as Informações sobre ameaças da Microsoft continuou a identificar memes gerados por IA direcionados aos Estados Unidos que amplificavam questões domésticas controversas e criticavam a administração atual. Os atores de OI ligados à China continuaram a usar mídia aprimorada e gerada por IA (doravante, "conteúdo de IA") em campanhas de influência com volume e frequência cada vez maiores ao longo do ano.

A IA aumenta (mas não consegue influenciar)

O mais prolífico desses agentes que usam conteúdo de IA é o Storm-1376, designação da Microsoft para o agente ligado ao PCC (Partido Comunista Chinês), comumente conhecido como "Spamouflage" ou "Dragonbridge". No inverno, outros atores ligados ao PCC começaram a usar uma variedade maior de conteúdo de IA para aumentar o OI online. Isso incluiu um aumento notável no conteúdo com figuras políticas taiwanesas antes das eleições presidenciais e legislativas de 13 de janeiro. Essa foi a primeira vez que as Informações sobre ameaças da Microsoft testemunhou um ator de estado-nação usando conteúdo de IA em tentativas de influenciar uma eleição estrangeira.

Áudio gerado por IA: No dia da eleição de Taiwan, o Storm-1376 publicou supostos clipes de áudio gerados por IA do proprietário da Foxconn, Terry Gou, candidato do Partido Independente na corrida presidencial de Taiwan, que se retirou da disputa em novembro de 2023. As gravações de áudio retratavam a voz de Gou endossando outro candidato na corrida presidencial. A voz de Gou nas gravações provavelmente é gerada por IA, pois Gou não fez nenhuma declaração desse tipo. O YouTube tomou medidas rapidamente contra esse conteúdo antes que ele atingisse um número significativo de usuários. Esses vídeos surgiram dias depois da circulação online de uma carta falsa de Terry Gou endossando o mesmo candidato. As principais organizações de verificação de fatos de Taiwan desmascararam a carta. A campanha de Gou também declarou que a carta não era verdadeira e que eles estariam tomando medidas legais em resposta.4 Gou não endossou formalmente nenhum candidato presidencial na disputa.
Um homem de terno falando em um palanque com texto em chinês e um gráfico de onda sonora em primeiro plano.
Figura 3: Vídeos publicados pelo grupo Storm-1376 usaram gravações de voz geradas por IA de Terry Gou para fazê-lo parecer como se ele apoiasse outro candidato.
Âncoras gerados por IA: Âncoras de notícias gerados por IA e gerados por empresas de tecnologia terceirizadas, usando a ferramenta Capcut da empresa de tecnologia chinesa ByteDance apareceram em várias campanhas com autoridades taiwanesas,5 bem como em mensagens sobre Mianmar. O Storm-1376 tem usado esses âncoras de notícias gerados por IA desde fevereiro de 2023,6 mas o volume de seu conteúdo com esses âncoras aumentou nos últimos meses.
Uma colagem de um veículo militar
Figura 4: Storm-1376 postou vídeos em mandarim e inglês alegando que os Estados Unidos e a Índia eram responsáveis pela agitação em Mianmar. O mesmo âncora gerado por IA é usado em alguns desses vídeos.
Vídeos aprimorados por IA: Conforme revelado pelo governo do Canadá e por outros pesquisadores, vídeos aprimorados por IA usaram a imagem de um dissidente chinês residente no Canadá em uma campanha direcionada a parlamentares canadenses.7 Esses vídeos, que eram apenas uma parte de uma campanha multiplataforma que incluía o assédio a políticos canadenses em suas contas de redes sociais, retratavam falsamente o dissidente fazendo comentários inflamados sobre o governo do Canadá. Vídeos semelhantes aprimorados por IA foram usados anteriormente contra esse dissidente.
Uma pessoa sentada em uma mesa
Figura 5: Vídeos deepfake criados por IA que mostram um dissidente falando de maneira depreciativa sobre religião. Embora usem táticas similares à campanha do Canadá, esses vídeos não têm relação em termos de conteúdo.
Memes gerado por IA: O Storm-1376 promoveu uma série de memes gerados por IA do então candidato presidencial do DPP (Partido Democrático Progressista) de Taiwan, William Lai, em dezembro, com um tema de contagem regressiva indicando "X dias" para tirar o DPP do poder.
Representação gráfica com duas imagens lado a lado, uma com uma figura marcada com um x vermelho e a outra com a mesma figura sem marcação,
Figura 6: Memes gerados por IA acusam o candidato presidencial do DPP, William Lai, de desviar fundos do programa de desenvolvimento de infraestrutura de olho no futuro de Taiwan. Esses memes usaram caracteres simplificados (usados na RPC, mas não em Taiwan) e eram parte de uma série que mostrava uma contagem regressiva diária para retirar o DPP do poder."
Infográfico da linha do tempo mostrando a influência do conteúdo gerado por IA nas eleições de Taiwan entre dezembro de 2023 e janeiro de 2024.
Figura 7: Uma linha do tempo de conteúdos gerados e aprimorados por IA que surgiram na preparação para as eleições Presidenciais e Parlamentares de Taiwan em janeiro de 2024. O Storm-1376 amplificou várias dessas peças de conteúdo e foi responsável pela criação de conteúdos em duas campanhas.

O Storm-1376 continua com mensagens reativas, às vezes com narrativas conspiratórias

O Storm-1376, um ator cujas operações de influência abrangem mais de 175 sites e 58 idiomas, continuou a montar com frequência campanhas de mensagens reativas em torno de eventos geopolíticos de alto nível, principalmente aqueles que retratam os Estados Unidos de forma desfavorável ou que promovem o interesse do PCC na região da APAC. Desde nosso último relatório, em setembro de 2023, essas campanhas evoluíram de várias maneiras importantes, incluindo a incorporação de fotos geradas por IA para enganar o público, estimulando o conteúdo conspiratório, especialmente contra o governo dos EUA, e visando novas populações, como a Coreia do Sul, com conteúdo localizado.

1. Alegação de que uma "arma meteorológica" do governo dos EUA iniciou os incêndios florestais no Havaí

Em agosto de 2023, enquanto os incêndios florestais assolavam a costa noroeste de Maui, no Havaí, o Storm-1376 aproveitou a oportunidade para espalhar narrativas conspiratórias em várias plataformas de redes sociais. Essas publicações alegavam que o governo dos EUA havia provocado deliberadamente os incêndios para testar uma "arma meteorológica" de nível militar. Além de publicar o texto em pelo menos 31 idiomas em dezenas de sites e plataformas, o Storm-1376 usou imagens geradas por IA de estradas costeiras e residências em chamas para tornar o conteúdo mais atraente.8

Uma imagem composta com um selo "falso" sobre cenas de incêndios dramáticos.
Figura 8: O Storm-1376 posta conteúdo conspiratório dias após o surto de incêndios florestais, alegando que os incêndios foram resultado de testes de uma "arma meteorológica" realizados pelo governo dos EUA." Essas postagens foram frequentemente acompanhadas de fotos geradas por IA de incêndios massivos.

2. Ampliação da indignação com o descarte de águas residuais nucleares no Japão

O Storm-1376 lançou uma campanha de mensagens agressiva e em larga escala criticando o governo japonês depois que o Japão começou a liberar águas residuais radioativas tratadas no Oceano Pacífico em 24 de agosto de 2023.9 O conteúdo do Storm-1376 colocou em dúvida a avaliação científica da Agência Internacional de Energia Atômica (IAEA) de que o descarte era seguro. O Storm-1376 enviou mensagens indiscriminadamente em plataformas de redes sociais em vários idiomas, incluindo japonês, coreano e inglês. Alguns conteúdos até acusaram os Estados Unidos de envenenar propositalmente outros países para manter a "hegemonia da água". O conteúdo usado nessa campanha tem as marcas registradas da geração de IA.

Em alguns casos, o Storm-1376 reciclou conteúdo usado por outros atores no ecossistema de propaganda chinês, incluindo influenciadores de redes sociais afiliados à mídia estatal chinesa.10 Influenciadores e ativos pertencentes ao Storm-1376 carregaram três vídeos idênticos que criticavam a liberação de águas residuais de Fukushima. Esses casos de publicações de diferentes atores usando conteúdo idêntico aparentemente em sincronia, o que pode indicar coordenação ou direcionamento de mensagens, aumentaram ao longo de 2023.

Uma imagem composta apresentando uma ilustração satírica de pessoas, uma captura de tela de um vídeo com o Godzilla e uma postagem em rede social
Figura 9: Memes e imagens gerados por IA criticando o descarte de águas residuais de Fukushima, criados por ativos chineses de operações de influência (IO) de forma oculta (à esquerda) e por oficiais do governo chinês (ao centro). Influenciadores afiliados à mídia estatal chinesa também reforçaram mensagens alinhadas ao governo, criticando o descarte (à direita).

3. Provocando discórdia na Coreia do Sul

Em relação ao despejo de águas residuais em Fukushima, o Storm-1376 fez um esforço conjunto para atingir a Coreia do Sul com conteúdo localizado, amplificando os protestos ocorridos no país contra o descarte, bem como conteúdo crítico ao governo japonês. Essa campanha incluiu centenas de postagens em coreano em várias plataformas e sites, incluindo sites de redes sociais sul-coreanas, como Kakao Story, Tistory e Velog.io.11

Como parte dessa campanha direcionada, o Storm-1376 amplificou ativamente os comentários e as ações do líder do Minjoo e candidato presidencial malsucedido em 2022, Lee Jaemyung (이재명, 李在明). Lee criticou a ação do Japão como "terror de água contaminada" e equivalente a uma "Segunda Guerra do Pacífico". Ele também acusou o atual governo da Coreia do Sul de ser "cúmplice ao apoiar" a decisão do Japão e iniciou uma greve de fome em protesto que durou 24 dias.12

Tirinha discutindo a poluição ambiental e seu impacto na vida marinha.
Figura 10: Os memes em coreano de uma plataforma de blogs da Coreia do Sul, Tistory, estão amplificando a discordância sobre o descarte das águas residuais de Fukushima.

4. Descarrilamento em Kentucky

Durante o feriado de Ação de Graças em novembro de 2023, um trem que transportava enxofre derretido descarrilou no condado de Rockcastle no Kentucky. Aproximadamente uma semana após o descarrilamento, o Storm-1376 lançou uma campanha de redes sociais que amplificou o descarrilamento, espalhou teorias de conspiração contra o governo dos EUA e destacou as divisões políticas entre os eleitores dos EUA, incentivando a desconfiança e a desilusão com o governo dos EUA. O Storm-1376 incitou o público a considerar se o governo dos EUA pode ter causado o descarrilamento e se está "escondendo algo deliberadamente".13 Algumas mensagens até compararam o descarrilamento às teorias de encobrimento do 11 de setembro e de Pearl Harbor.14

Os fantoches chineses do OI buscam perspectivas sobre tópicos políticos dos EUA

Em nosso relatório de setembro de 2023, destacamos como as contas de redes sociais afiliadas ao PCC começaram a se passar por eleitores dos EUA, fazendo-se passar por americanos de todo o espectro político e respondendo a comentários de usuários autênticos.15 Esses esforços para influenciar as eleições de meio de mandato de 2022 nos EUA marcaram a primeira vez em uma OI chinesa observada.

O Centro de Análise de Ameaças da Microsoft (MTAC) observou um aumento pequeno, porém constante, de contas adicionais de fantoches que avaliamos com confiança moderada serem administradas pelo PCC. No X (antigo Twitter), essas contas foram criadas já em 2012 ou 2013, mas só começaram a postar sob suas personas atuais no início de 2023, sugerindo que as contas foram adquiridas recentemente ou foram reaproveitadas. Esses fantoches publicam vídeos, memes e infográficos produzidos originalmente, bem como conteúdo reciclado de outras contas políticas de alto perfil. Estas contas publicam quase exclusivamente sobre questões internas dos EUA, desde o uso de drogas, políticas de imigração e tensões raciais nos Estados Unidos, mas ocasionalmente comentam tópicos de interesse para a China, como o despejo de águas residuais de Fukushima ou os dissidentes chineses.

Uma captura de tela de um computador com textos sobre guerra e conflitos, questões de drogas, relações raciais etc.
Figura 11: Durante o segundo semestre, perfis falsos e personas chineses frequentemente usaram elementos visuais atraentes (às vezes aprimorados por IA gerativa) em suas postagens ao discutir questões políticas dos EUA e eventos atuais.
Juntamente com infográficos ou vídeos com motivação política, essas contas geralmente perguntam aos seguidores se eles concordam com determinado tópico. Algumas dessas contas postaram sobre vários candidatos à presidência e pediram aos seguidores que comentassem se os apoiavam ou não. Essa tática pode ter o objetivo de buscar mais participação ou, possivelmente, de obter informações sobre a opinião dos americanos sobre a política dos EUA. Mais contas desse tipo poderiam estar operando para aumentar a coleta de informações sobre os principais dados demográficos de votação nos Estados Unidos.
Comparação de imagem em tela dividida: à esquerda, um jato militar decolando de um porta-aviões e à direita, um grupo de pessoas sentadas atrás de uma barreira
Figura 12: Perfis falsos chineses solicitam opiniões sobre temas políticos de outros usuários no X

Os agentes de ameaças cibernéticas norte-coreanos roubaram centenas de milhões de dólares em criptomoedas, realizaram ataques à cadeia de fornecedores de software e visaram seus adversários de segurança nacional em 2023. Suas operações geram receita para o governo norte-coreano, especialmente seu programa de armas, e coletam informações sobre a Coreia do Sul, os Estados Unidos e o Japão.16

Infográficos mostrando os setores e países mais visados por ameaças cibernéticas.
Figura 13: Os setores e países mais visados pela Coreia do Norte de junho de 2023 a janeiro de 2024, com base nos dados de notificação de ameaças de estado-nação das Informações sobre ameaças da Microsoft.

Atores cibernéticos norte-coreanos saqueiam uma quantidade recorde de criptomoedas para gerar receita para o Estado.

As Nações Unidas estimam que os atores cibernéticos norte-coreanos roubaram mais de USD$ 3 bilhões em criptomoedas desde 2017.17 Só em 2023, ocorreram roubos que totalizaram entre USD$ 600 milhões e USD$ 1 bilhão. Esses fundos roubados supostamente financiam mais da metade do programa nuclear e de mísseis do país, permitindo a proliferação e os testes de armas da Coreia do Norte, apesar das sanções.18 A Coreia do Norte realizou vários testes de mísseis e exercícios militares no ano passado e até lançou com sucesso um satélite de reconhecimento militar no espaço em 21 de novembro de 2023.19

Três atores de ameaças rastreados pela Microsoft, Jade Sleet, Sapphire Sleet e Citrine Sleet, foram os que mais se concentraram em alvos de criptomoedas desde junho de 2023. O Jade Sleet realizou grandes roubos de criptomoedas, enquanto o Sapphire Sleet realizou operações de roubo menores de criptomoedas, porém mais frequentes. A Microsoft atribuiu o roubo de pelo menos USD$ 35 milhões de uma empresa de criptomoeda sediada na Estônia no início de junho de 2023 a Jade Sleet. A Microsoft também atribuiu o roubo de mais de USD$ 125 milhões de uma plataforma de criptomoeda baseada em Cingapura ao Jade Sleet um mês depois. O Jade Sleet começou a comprometer os cassinos online de criptomoedas em agosto de 2023.

O Sapphire Sleet comprometeu consistentemente vários funcionários, incluindo executivos e desenvolvedores de criptomoedas, capital de risco e outras organizações financeiras. O Sapphire Sleet também desenvolveu novas técnicas, como o envio de convites falsos para reuniões virtuais contendo links para um domínio do invasor e o registro de sites falsos de recrutamento de empregos. O Citrine Sleet deu sequência ao ataque à cadeia de fornecedores do 3CX em março de 2023, comprometendo uma empresa de criptomoeda e ativos digitais sediada na Turquia. A vítima hospedou uma versão vulnerável do aplicativo 3CX vinculado ao comprometimento da cadeia de fornecedores.

Atores cibernéticos norte-coreanos ameaçam o setor de TI com spear-phishing e ataques à cadeia de fornecedores de software

Os atores de ameaças norte-coreanos também realizaram ataques à cadeia de fornecedores de software em empresas de TI, resultando em acesso a clientes downstream. O Jade Sleet usou repositórios do GitHub e pacotes npm mal-intencionados em uma campanha de spear-phishing de engenharia social que visava funcionários de organizações de tecnologia e criptomoeda.20 Os atacantes se faziam passar por desenvolvedores ou recrutadores, convidavam os alvos a colaborar em um repositório do GitHub e os convenciam a clonar e executar seu conteúdo, que continha pacotes npm mal-intencionados. O Diamond Sleet conduziu um comprometimento da cadeia de fornecedores de uma empresa de TI sediada na Alemanha em agosto de 2023 e transformou em mal-intencionado um aplicativo de uma empresa de TI sediada em Taiwan para conduzir um ataque à cadeia de fornecedores em novembro de 2023. Tanto o Diamond Sleet quanto o Onyx Sleet exploraram a vulnerabilidade CVE-2023-42793 do TeamCity em outubro de 2023, que permite que um invasor realize um ataque de execução remota de código e obtenha controle administrativo do servidor. O Diamond Sleet usou essa técnica para comprometer centenas de vítimas em vários setores nos Estados Unidos e em países europeus, incluindo a Alemanha, Dinamarca, Irlanda e o Reino Unido. O Onyx Sleet explorou essa mesma vulnerabilidade para comprometer pelo menos 10 vítimas, incluindo um provedor de software na Austrália e uma agência governamental na Noruega, e usou ferramentas pós-comprometimento para executar conteúdos adicionais.

Os atores cibernéticos norte-coreanos atacaram a Coreia do Sul, os Estados Unidos e seus aliados

Os atores de ameaças norte-coreanos continuaram a visar seus adversários de segurança nacional. Essa atividade cibernética exemplificou o objetivo geopolítico da Coreia do Norte de combater a aliança trilateral entre a Coreia do Sul, os Estados Unidos e o Japão. Os líderes dos três países solidificaram essa parceria durante a cúpula de Camp David em agosto de 2023.21 O Ruby Sleet e o Onyx Sleet continuaram suas tendências de atacar organizações aeroespaciais e de defesa na Coreia do Sul e nos Estados Unidos. O Emerald Sleet manteve sua campanha de reconhecimento e spear-phishing visando diplomatas e especialistas da Península Coreana no governo, think tanks/ONGs, mídia e educação. O Pearl Sleet continuou suas operações visando entidades sul-coreanas que se envolvem com desertores e ativistas norte-coreanos focados em questões de direitos humanos da Coreia do Norte em junho de 2023. A Microsoft avalia que o motivo por trás dessas atividades é a coleta de informações.

Atores norte-coreanos implementam backdoors em software legítimo

Os atores de ameaças norte-coreanos também utilizaram backdoors em softwares legítimos, aproveitando as vulnerabilidades dos softwares existentes. Na primeira metade de 2023, o Diamond Sleet usou frequentemente malware de VNC mal-intencionado para comprometer as vítimas. O Diamond Sleet também voltou a usar malware mal-intencionado de leitor de PDF em julho de 2023, técnicas que as Informações sobre ameaças da Microsoft analisaram em uma postagem de blog em setembro de 2022.22 O Ruby Sleet provavelmente também utilizou um instalador com backdoor de um programa de documentos eletrônicos sul-coreano em dezembro de 2023.

A Coreia do Norte utilizou ferramentas de IA para permitir atividades cibernéticas mal-intencionadas

Os atores de ameaças norte-coreanos estão se adaptando à era da IA. Eles estão aprendendo a usar ferramentas com base em modelos de linguagem grande (LLM) de IA para tornar suas operações mais eficientes e eficazes. Por exemplo, a Microsoft e a OpenAI observaram o Emerald Sleet utilizando LLMs para aprimorar campanhas de spear-phishing direcionadas a especialistas na Península Coreana.23 O Emerald Sleet usou LLMs para pesquisar vulnerabilidades e realizar reconhecimento em organizações e especialistas com foco na Coreia do Norte. O Emerald Sleet também empregou LLMs para solucionar problemas técnicos, realizar tarefas básicas de script e redigir conteúdo para mensagens de spear-phishing. A Microsoft fez uma parceria com a OpenAI para desativar contas e ativos associados ao Emerald Sleet.

A China comemorará o 75º aniversário da fundação da República Popular da China em outubro, e a Coreia do Norte continuará a desenvolver seus principais programas de armas avançadas. Enquanto isso, à medida que as populações da Coreia do Sul, dos Estados Unidos e da Índia se dirigem às urnas, é provável que vejamos os atores cibernéticos e de influência chineses e, até certo ponto, os atores cibernéticos norte-coreanos, trabalhando para atingir essas eleições.

A China irá, no mínimo, criar e amplificar o conteúdo gerado pela IA que beneficie as suas posições nestas eleições de alto nível. Embora o impacto desse conteúdo para influenciar o público permaneça baixo, a crescente experimentação da China no aumento de memes, vídeos e áudio continuará, e poderá se mostrar eficaz no futuro. Embora os atores cibernéticos chineses tenham realizado reconhecimento das instituições políticas dos EUA há muito tempo, estamos preparados para ver os atores de influência interagirem com os americanos para participarem e, potencialmente, pesquisarem perspectivas sobre a política dos EUA.

Por fim, à medida que a Coreia do Norte embarca em novas políticas governamentais e busca planos ambiciosos para testes de armas, podemos esperar roubos de criptomoedas cada vez mais sofisticados e ataques à cadeia de fornecedores direcionados ao setor de defesa, servindo tanto para canalizar dinheiro para o regime quanto para facilitar o desenvolvimento de novas capacidades militares.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 January 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    "Provável campanha de "Spamouflage" da RPC tem como alvo dezenas de membros do Parlamento canadense em uma campanha de desinformação," outubro de 2023,

  8. [8]
  9. [9]

    Várias fontes documentaram a campanha de propaganda contínua do governo chinês com o objetivo de provocar indignação internacional em relação à decisão do Japão de descartar as águas residuais nucleares do acidente nuclear de Fukushima Daiichi em 2011, confira: A desinformação da China alimenta a raiva pela liberação da água de Fukushima", 31 de agosto de 2023"O Japão é alvo de propaganda chinesa e campanha online secreta", 8 de junho de 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operações de influência cibernética Estado-nação Relatórios sobre estados-nação Engenharia social Atores de ameaças

Artigos relacionados

As ameaças digitais do Pacífico Asiático crescem em abrangência e eficácia

Aprofunde-se e explore as tendências que estão surgindo no cenário de ameaças em evolução no Leste da Ásia, onde a China conduz amplas operações cibernéticas e de influência (IO), enquanto os atores de ameaças cibernéticas da Coreia do Norte mostram uma sofisticação crescente.
Saiba mais

Alimentando-se da economia da confiança: fraude de engenharia social

Explore um cenário digital em evolução em que a confiança é tanto uma moeda quanto uma vulnerabilidade. Descubra as táticas de fraude de engenharia social mais usadas pelos atacantes cibernéticos e analise as estratégias que podem ajudá-lo a identificar e superar as ameaças de engenharia social criadas para manipular a natureza humana.
Saiba mais

Irã aumenta operações de influência cibernética em apoio ao Hamas

Descubra os detalhes das operações de influência cibernética do Irã que apoiam o Hamas em Israel. Saiba como as operações progrediram em diferentes fases da guerra e examine as quatro principais TTPs (táticas, técnicas e procedimentos) de influência que o Irã mais utilizou.
Saiba mais

Siga a Segurança da Microsoft