Trace Id is missing

Os mesmos alvos, novas estratégias: Atores de ameaças do Leste da Ásia recorrem a métodos únicos

Transferir
Partilhar
Ilustração abstrata de um navio com círculos vermelhos e elementos de malha pretos num fundo rosa.

A Microsoft observou várias tendências cibernéticas e de influência notáveis da China e da Coreia do Norte desde julho de 2023 que demonstram não só uma insistência em alvos familiares, mas também tentativas de utilizar técnicas de influência mais sofisticadas para alcançar os seus objetivos.

Os ciberatores chineses selecionaram em geral três áreas alvo nos últimos sete meses:

  • Um conjunto de atores chineses visou extensivamente entidades nas Ilhas do Pacífico Sul.
  • Um segundo conjunto de atividade chinesa continuou uma sequência de ciberataques contra adversários regionais na região do Mar da China Meridional.
  • Entretanto, um terceiro conjunto de atores chineses comprometeram a base industrial de defesa dos EUA.

Os atores de influência chineses, em vez de alargar o âmbito geográfico dos seus alvos, refinaram as suas técnicas e experimentaram nova multimédia. As campanhas de influência chinesas continuaram a refinar conteúdo gerado ou melhorado por IA. Os atores de influência por trás destas campanhas mostraram uma disponibilidade para amplificar multimédia gerada por IA que beneficia as suas narrativas estratégicas, bem como criar o seu próprio conteúdo de vídeo, memes e áudio. Tais táticas foram utilizadas em campanhas a alimentar divisões nos Estados Unidos e a exacerbar desavenças na região Ásia-Pacífico, incluindo Taiwan, Japão e Coreia do Sul. Estas campanhas atingiram diferentes níveis de aceitação, sem que nenhuma fórmula única produzisse envolvimento consistente do público-alvo.

Os ciberatores norte-coreanos fizeram manchetes por aumentar os ataques a cadeias de abastecimento de software e assaltos de criptomoedas no último ano. Embora campanhas estratégicas de spear-phishing a visar investigadores que estudam na península coreana se tenham mantido uma tendência constante, os atores de ameaças norte-coreanos pareceram utilizar mais software legítimo para comprometer ainda mais vítimas.

Gingham Typhoon visa entidades governamentais, de TI e multinacionais nas ilhas do Pacífico Sul

Durante o verão de 2023, as Informações sobre Ameaças da Microsoft observaram atividade extensiva do grupo de espionagem baseado na China Gingham Typhoon que visou quase todos os países de ilhas do Pacífico Sul. O Gingham Typhoon é o ator mais ativo nesta região, atacando organizações internacionais, entidades governamentais e o setor de TI com campanhas complexas de phishing. As vítimas também incluíram críticos notórios do governo chinês.

Os aliados diplomáticos da China que foram vítimas da atividade recente do Gingham Typhoon incluíram departamentos executivos governamentais, departamentos relacionados com comércio, fornecedores de serviços de Internet, bem como uma entidade de transporte.

Competição geopolítica e diplomática acentuada na região pode ser uma motivação para estas ciberatividades ofensivas. A China procura obter parcerias estratégicas com nações de ilhas do Pacífico Sul para expandir relações económicas e mediar acordos diplomáticos e de segurança. A ciberespionagem chinesa nesta região também segue parceiros económicos.

Por exemplo, atores chineses lançaram ataques de grande escala a organizações multinacionais na Papua-Nova Guiné, um parceiro diplomático de longa data que beneficia de vários projetos da Nova Rota da Seda, incluindo a construção de uma estrada importante que liga um edifício do governo da Papua-Nova Guiné à estrada principal da capital.1

Mapa a ilustrar a frequência de ciberameaças visadas em nações de ilhas do pacífico, com círculos maiores
Figura 1: Eventos observados do Gingham Typhoon de junho de 2023 a janeiro de 2024. Esta atividade realça o seu foco contínuo nas nações de Ilhas do Pacífico Sul. No entanto, muitas destas ações têm sido contínuas, o que reflete um foco de vários anos na região. As localizações geográficas e o diâmetro da simbologia são representativos.

Atores de ameaças chineses mantêm o foco no Mar da China Meridional entre exercícios militares ocidentais

Os atores de ameaças baseados na China continuaram a visar entidades relacionadas com interesses económicos e militares da China no e em redor do Mar da China Meridional. Estes atores comprometeram de forma oportunista vítimas de governos e de telecomunicações na Associação de Nações do Sudeste Asiático (ASEAN). Os ciberatores afiliados com o estado chinês pareceram especialmente interessados em alvos relacionados com vários exercícios militares dos EUA na região. Em junho de 2023, o Raspberry Tycoon, um grupo de atividades de estado-nação baseado na China, visou com êxito entidades militares e executivas na Indonésia e um sistema marítimo malaio nas semanas anteriores a um raro exercício naval multilateral que envolveu a Indonésia, a China e os Estados Unidos.

De forma semelhante, as entidades relacionadas com exercícios militares entre EUA e Filipinas foram visados por outro ciberator chinês, o Flax Typhoon. Entretanto, o Granite Typhoon, mais um ator de ameaças baseado na China, comprometeu principalmente entidades de telecomunicações na região durante este período, com vítimas na Indonésia, na Malásia, nas Filipinas, no Camboja e no Taiwan.

Desde a publicação do blogue da Microsoft sobre o Flax Typhoon, a Microsoft observou novos alvos do Flax Typhoon nas Filipinas, em Hong Kong, na Índia e nos Estados Unidos no outono e no inverno de 2023.2 Este ator também atacou frequentemente o setor de telecomunicações, muitas vezes levando a muitos efeitos a jusante.

Mapa a mostrar dados das informações sobre ameaças da microsoft sobre as regiões mais visadas na ásia,
Figura 2: Eventos observados a visar países no, ou perto do, Mar da China Meridional pelo Flax Typhoon, Granite Typhoon ou Raspberry Typhoon. As localizações geográficas e o diâmetro da simbologia são representativos.

Nylon Typhoon compromete entidades de negócios estrangeiros em todo o mundo

O ator de ameaças baseado na China, Nylon Typhoon, continuou a sua prática de longa data de visar entidades de negócios estrangeiros em países de todo o mundo. Entre junho e dezembro de 2023, a Microsoft observou o Nylon Typhoon em entidades governamentais na América do Sul, incluindo no Brasil, na Guatemala, na Costa Rica e no Peru. O ator de ameaças também foi observado na Europa, a comprometer entidades governamentais em Portugal, França, Espanha, Itália e Reino Unido. Embora a maioria dos alvos europeus tenha sido entidades governamentais, algumas empresas de TI também foram comprometidas. O objetivo desta definição de alvos é a recolha de inteligência.

Grupo de ameaças chinês visa entidades militares e infraestrutura crítica nos Estados Unidos

Por fim, o Storm-0062 aumentou a atividade no outono e no inverno de 2023. Muita desta atividade comprometeu entidades governamentais relacionadas com defesa dos EUA, incluindo fornecedores de serviços de engenharia técnica nas áreas de aeroespacial, de defesa e de recursos naturais críticas para a segurança nacional dos EUA. Além disso, o Storm-0062 visou repetidamente entidades militares nos Estados Unidos. No entanto, não se sabe se u grupo teve êxito nas suas tentativas de comprometimento.

A base industrial de defesa dos EUA também continua a ser um alvo contínuo do Volt Typhoon. Em maio de 2023, a Microsoft atribuiu ataques a organizações de infraestrutura crítica dos EUA ao Volt Typhoon, um ator financiado pelo estado baseado na China. O Volt Typhoon obteve acesso a redes de organizações com técnicas “living-off-the-land” e atividade de mãos no teclado.3 Estas táticas permitiram ao Volt Typhoon manter de forma furtiva acesso não autorizado a redes alvo. De junho a dezembro de 2023, o Volt Typhoon continuou a visar infraestrutura crítica, mas também buscou a implementação de recursos ao comprometer dispositivos de escritório pequeno ou em casa (SOHO) nos Estados Unidos.

No nosso relatório de setembro de 2023, detalhámos como ativos de operações de influência (OI) chineses começaram a utilizar IA generativa para criar conteúdo visual elegante e cativante. Durante todo o verão, as Informações sobre Ameaças da Microsoft continuaram a identificar memes gerados por IA a visar os Estados Unidos que amplificavam problemas domésticos controversos e criticavam o governo atual. Atores de OI associados à China continuaram a utilizar multimédia gerada e melhorada por IA (doravante, “conteúdo de IA”) em campanhas de influência volume e frequência crescentes ao longo do ano.

Utilização de IA aumenta (mas influencia)

O mais prolífico destes atores a utilizar conteúdo de IA é o Storm-1376, a designação da Microsoft para o ator associado ao Partido Comunista Chinês (PCC) conhecido como “Spamouflage” ou “Dragonbridge”. No inverno, outros atores associados ao PCC começaram a utilizar uma série mais vasta de conteúdo de IA para aumentar as OI online. Isto incluiu um aumento notável em conteúdo a incluir figuras políticas taiwanesas antes das eleições presidenciais e legislativas de 13 de janeiro. Isto foi a primeira vez que as Informações sobre Ameaças da Microsoft testemunharam um ator de estado-nação a utilizar conteúdo de IA em tentativas de influenciar uma eleição estrangeira.

Áudio gerado por IA: No dia das eleições do Taiwan, o Storm-1376 publicou clips de áudio suspeitos de terem sido gerados por IA do proprietário da Foxconn Terry Gou, candidato de um partido independente na corrida presidencial do Taiwan, que saiu da corrida em novembro de 2023. As gravações de áudio representaram a voz de Gou a apoiar outro candidato na corrida presidencial. A voz de Gou nas gravações foi provavelmente gerada por IA, uma vez que Gou não fez tal declaração. O YouTube acionou rapidamente este conteúdo antes de ter alcançado um número de utilizadores significativos. Estes vídeos seguiram dias após uma carta falta de Terry Gou a apoiar o mesmo candidato ter circulado online. As principais organizações de fact-checking do Taiwan desacreditaram a carta. A campanha de Gou também declarou que a carta não era real e que empreender uma ação nos tribunais em resposta.4 Gou não apoiou formalmente nenhum candidato presidencial na corrida.
Um homem de fato a falar num pódio com texto chinês e uma imagem de uma forma de onda de áudio em primeiro plano.
Figura 3: Vídeos publicados pelo Storm-1376 utilizaram gravações de voz de Terry Gou geradas por IA para fazer parecer que apoiou outro candidato.
Pivôs gerados por IA: Pivôs de notícias gerados por IA gerados por empresas de tecnologia de terceiros, através da ferramenta Capcut da empresa chinesa de tecnologia ByteDance, apareceram em várias campanhas a incluir oficiais taiwaneses,5 bem como mensagens sobre Myanmar. O Storm-1376 recorreu a esses pivôs de notícias gerados por IA desde, pelo menos, fevereiro de 2023,6 mas o volume do conteúdo a incluir estes pivôs aumentou nos últimos meses.
Uma colagem de um veículo militar
Figura 4: O Storm-1376 publicou vídeos em mandarim e inglês a alegar que os Estados Unidos e a Índia foram responsáveis pela agitação no Myanmar. O mesmo pivô gerado por IA é utilizado em alguns destes vídeos.
Vídeos melhorados por IA: Conforme divulgado pelo governo do Canadá e por outros investigadores, vídeos melhorados por IA utilizaram a aparência de um dissidente chinês baseado no Canadá numa campanha a visar ministros canadianos.7 Estes vídeos, que eram apenas uma parte de uma campanha de várias plataformas que incluiu assediar políticos canadianos nas suas contas de redes sociais, retrataram falsamente o dissidente a fazer comentários incendiários sobre o governo do Canadá. Vídeos melhorados por IA semelhantes foram utilizados contra este dissidente anteriormente.
Uma pessoa sentada a uma secretária
Figura 5: Vídeos deepfake possibilitados por IA do dissidente a falar de uma forma depreciativa sobre religião. Embora utilizem táticas semelhantes às da campanha do Canadá, estes vídeos parecem não relacionados em termos de conteúdo.
Memes gerados por IA: O Storm-1376 promoveu uma série de memes gerados por IA do candidato presidencial do então Partido Progressivo Democrático (PPD) do Taiwan William Lai em dezembro com um tema de contagem decrescente a notar “X dias” para tirar o PPD do poder.
Representação gráfica com duas imagens lado a lado, uma com uma figura com um x vermelho e a outra com a mesma figura não marcada,
Figura 6: Memes gerados por IA acusam o candidato presidencial do DPP William Lai de desviar fundos do Programa de Desenvolvimento de Infraestrutura Progressista do Taiwan. Estes memes incluíam carateres simplificados (utilizados na República Popular da China, mas não no Taiwan) e faziam parte de uma série que mostrava uma “contagem decrescente para tirar o DPP do poder” diária.
Infografia de linha cronológica a mostrar a influência de conteúdo gerado por IA sobre as eleições do taiwan de dezembro de 2023 a janeiro de 2024.
Figura 7: Uma linha cronológica de conteúdo gerado e melhorado por IA que apareceu antes das eleições Presidenciais e Parlamentares de janeiro de 2024 do Taiwan. O Storm-1376 amplificou várias destes peças de conteúdo e foi responsável por criar conteúdo em duas campanhas.

Storm-1376 continua com mensagens reativas, por vezes com narrativas conspiratórias

O Storm-1376, um ator cujas operações de influência abrangem mais de 175 sites e 58 idiomas, continuou a montar frequentemente campanhas de mensagens reativas em torno de eventos geopolíticos importantes, especialmente aqueles que retratam os Estados Unidos de forma desfavorável ou favorecem os interesses do PCC na região APAC. Desde o nosso último relatório em setembro de 2023, estas campanhas evoluíram de várias formas importantes, incluindo incorporar fotografias geradas por IA para induzir públicos-alvo em erro, alimentar conteúdo conspiratório, especialmente contra o governo dos EUA, e visar novas populações, como a Coreia do Sul, com conteúdo localizado.

1. Afirmar que uma “arma meteorológica” do governo dos EUA começou os incêndios do Havai

Em agosto de 2023, enquanto incêndios assolavam a costa noroeste de Maui, Havai, o Storm-1376 aproveitou a oportunidade para espalhar narrativas conspiratórias em várias plataformas de redes sociais. Estas publicações alegavam que o governo dos EUA tinha iniciado os incêndios deliberadamente para testar uma “arma meteorológica” de nível militar. Além de publicar o texto em pelo menos 31 idiomas em dezenas de sites e plataformas, o Storm-1376 utilizou imagens geradas por IA de estradas costeiras e residências em chamas para tornar o conteúdo mais chamativo.8

Uma imagem composta com um carimbo “fake” sobre as cenas de incêndios dramáticos.
Figura 8: O Storm-1376 publica conteúdo conspiratório poucos dias depois do início dos fogos florestais, alegando que os incêndios resultaram de testes por parte do governo dos EUA de uma “arma meteorológica”. Estas publicações eram frequentemente acompanhadas de fotografias geradas por IA de incêndios enormes.

2. Amplificar indignação sobre o despejo de águas residuais nucleares do Japão

O Storm-1376 lançou uma campanha de mensagens agressiva de larga escala a criticar o governo japonês após o Japão ter começado a despejar águas residuais radioativas tratadas para o Oceano Pacífico a 24 de agosto de 2023.9 O conteúdo do Storm-1376 lançou dúvidas sobre a avaliação científica da Agência Internacional de Energia Atómica (IAEA) de que o despejo era seguro. O Storm-1376 enviou mensagens indiscriminadamente em plataformas de redes sociais em vários idiomas, incluindo japonês, coreano e inglês. Algum conteúdo acusou até os Estados Unidos de envenenar propositadamente outros países para manter a “hegemonia aquática”. O conteúdo utilizado nesta campanha tem o traço distintivo da geração de IA.

Em algumas instâncias, o Storm-1376 reciclou conteúdo utilizado por outros atores no ecossistema chinês de propaganda, incluindo influenciadores de redes sociais afiliados com a comunicação social estatal chinesa.10 Influenciadores e ativos pertencentes ao Storm-1376 carregaram três vídeos idênticos que criticavam o despejo de águas residuais de Fukushima. Tais instâncias de publicações de diferentes atores a utilizar conteúdo idêntico aparentemente em sintonia, o que pode indicar coordenação ou direção de mensagens, aumentou ao longo de 2023.

Uma imagem composta com uma ilustração de pessoas satírica, uma captura de ecrã de um vídeo a retratar o godzilla e uma publicação numa rede social
Figura 9: Memes e imagens gerados por IA críticos do despejo de águas residuais de Fukushima de recursos de IO chineses furtivos (esquerda) e representantes do governo chinês (centro). Influenciadores afiliados à comunicação social estatal chinesa também amplificaram mensagens alinhadas com o governo críticas dos despejos (direita).

3. Alimentar discórdia na Coreia do Sul

Relacionado com o despejo de águas residuais de Fukushima, o Storm-1376 fez um esforço concertado para visar a Coreia do Sul com conteúdo localizado a amplificar os protestos a ocorrer no país contra o despejo, bem como conteúdo crítico do governo japonês. Esta campanha incluiu centenas de publicações em coreano em múltiplos sites e plataformas, incluindo sites coreanos de redes sociais como Kakao Story, Tistory e Velog.io.11

Como parte desta campanha direcionada, o Storm-1376 amplificou ativamente comentários e ações do líder do Minjoo e candidato presidencial derrotado de 2022, Lee Jaemyung (이재명, 李在明). Lee criticou a ação do Japão como “terrorismo de água contaminada” e equivalente a uma “Segunda Guerra do Pacífico”. Também acusou o governo atual da Coreia do Sul de ser “cúmplice ao apoiar” a decisão do Japão e iniciou uma guerra de fome em protesto que durou 24 dias.12

História de banda desenhada de quatro painéis a abordar a poluição ambiental e o seu impacto na vida marinha.
Figura 10: Memes em coreano da plataforma de blogue sul-coreana Tistory amplificam discórdia sobre o despejo de águas residuais de Fukushima.

4. Descarrilamento de Kentucky

Na véspera do Dia de Ação de Graças em novembro de 2023, um comboio a transportar enxofre derretido descarrilou no Condado de Rockcastle, Kentucky. Aproximadamente uma semana após o descarrilamento, o Storm-1376 lançou uma campanha nas redes sociais que amplificou o descarrilamento, espalhou teorias de conspiratórias contra o governo dos EUA e destacou divisões políticas entre votantes dos EUA, encorajando por fim desconfiança e desilusão com o governo dos EUA. O Storm-1376 instigou os públicos-alvo a considerar se o governo dos EUA pode ter causado o descarrilamento e está a “esconder alguma coisa deliberadamente.”13 Algumas mensagens compararam até o descarrilamento a teorias de encobrimento do 11 de setembro e de Pearl Harbor.14

Sockpuppets de OI chineses procuram perspetivas em tópicos políticos dos EUA

No nosso relatório de setembro de 2023, realçámos como contas de redes sociais afiliadas com o PCC começaram a fazer-se passar por votantes dos EUA ao fazer-se passar por americanos de todo o espetro político e responder a comentários de utilizadores autênticos.15 Estes esforços para influenciar as eleições de meio do mandato dos EUA de 2022 foram a primeira OI chinesa observada.

O Centro de Análise de Ameaças da Microsoft (MTAC) observou um pequeno, mas constante, aumento em contas sockpuppet adicionais que cremos com moderada confiança que são do PCC. No X (ex-Twitter), estas contas foram criadas desde 2012 ou 2013, mas só começaram a publicar com as suas personas atuais no início de 2023, o que sugere que as contas foram recentemente adquiridas ou foram readaptadas. Estes sockpuppets publicam vídeos, memes e infografia produzidos originalmente, bem como conteúdo reciclado de outras contas políticas famosas. Estas contas publicam quase exclusivamente sobre problemas domésticos dos EUA, como uso de drogas nos EUA, políticas de imigração e tensões raciais, mas ocasionalmente comentam sobre tópicos do interesse da China, como o despejo de águas residuais de Fukushima ou dissidentes chineses.

Uma captura de ecrã de um computador com o texto War and conflicts,drug issue race relations etc.
Figura 11: Durante todo o verão e outono, sockpuppets e personas chineses utilizaram frequentemente elementos visuais cativantes, por vezes melhorados através de IA generativa, nas suas publicações ao debater assuntos políticos e atualizados dos EUA.
Juntamente com infografia ou vídeos com motivações políticas, estas contas perguntam frequentemente aos seguidores se concordam com o tópico. Algumas destas contas publicaram sobre vários candidatos presidenciais e, depois, perguntaram aos seus seguidores para comentar se os apoiam ou não. Esta tática pode ter o objetivo de procurar mais interação ou, possivelmente, obter informações sobre as opiniões dos americanos sobre política dos EUA. Mais contas como estas podem estar a operar para aumentar a recolha de informações sobre perfis demográficos de votação chave nos Estados Unidos.
Comparação de imagens de ecrã dividido: à esquerda um jato das forças armadas a descolar de um porta-aviões e à direita um grupo de pessoas sentadas por trás de uma barreira
Figura 12: Sockpuppets chineses solicitam opiniões sobre tópicos políticos de outros utilizadores no X

Atores de ciberameaças norte-coreanos roubaram centenas de milhões de dólares em criptomoedas, realizaram ataques a cadeias de abastecimento de software e visaram os seus supostos adversários de segurança nacional em 2023. As suas operações geram receitas para o governo norte-coreano, especialmente para o seu programa de armas, e recolhem inteligência sobre os Estados Unidos, a Coreia do Sul e o Japão.16

Infografia a mostrar os setores e países mais visados para ciberameaças.
Figura 13: Setores e países mais visados pela Coreia do Norte de junho de 2023 a janeiro de 2024 com base em dados de notificações de estados-nações das Informações sobre Ameaças da Microsoft.

Ciberatores norte-coreanos roubam um montante recorde de criptomoedas para gerar receitas para o estado.

As Nações Unidas estimam que ciberatores norte-coreanos roubaram mais de 3 mil milhões USD em criptomoedas desde 2017.17 Só em 2023, ocorreram assaltos a totalizar entre 600 milhões USD e mil milhões USD. Estes fundos roubados alegadamente financiam mais de metade do programa nuclear e de mísseis do país, permitindo a proliferação e o teste de armas apesar das sanções.18 A Coreia do Norte realizou vários testes de mísseis e exercícios militares no último ano e até lançaram com êxito um satélite de reconhecimento militar para o espaço a 21 de novembro de 2023.19

Três atores de ameaças monitorizados pela Microsoft, Jade Sleet, Sapphire Sleet e Citrine Sleet, concentraram-se mais em alvos de criptomoedas desde junho de 2023. O Jade Sleet realizou grandes assaltos de criptomoedas, enquanto o Sapphire Sleet realizou operações de roubo de criptomoedas mais pequenas, mas mais frequentes. A Microsoft atribuiu ao Jade Sleet o roubo de, pelo menos, 35 milhões USD a uma firma de criptomoedas baseada na Estónia no início de junho de 2023. A Microsoft também atribuiu ao Jade Sleet o assalto de mais de 125 milhões USD a uma plataforma de criptomoedas baseada na Singapura um mês mais tarde. O Jade Sleet começou a comprometer casinos de criptomoedas online em agosto de 2023.

O Sapphire Sleet comprometeu consistentemente vários colaboradores, incluindo executivos e programadores, em organizações de criptomoedas, capital de risco e outras organizações financeiras. O Sapphire Sleet também desenvolveu novas técnicas, como o envio de convites de reuniões virtuais falso a conter ligações para um domínio do atacante e sites falso de recrutamento de empregos. O Citrine Sleet deu seguimento ao ataque à cadeia de abastecimento do 3CX de março de 2023 ao comprometer uma firma a jusante baseada na Turquia de criptomoedas e ativos digitais. A vítima alojava uma versão vulnerável da aplicação 3CX ligada ao comprometimento da cadeia de abastecimento.

Ciberatores norte-coreanos ameaçam o setor de TI com ataques de spear-phishing e de cadeia de abastecimento de software

Os atores de ameaças norte-coreanos também realizaram ataques de cadeia de abastecimento de software a firmas de TI, o que resultou no acesso a clientes a jusante. O Jade Sleet utilizou repositórios do GitHub e pacotes npm transformados em armas numa campanha de spear-phishing de engenharia social que visou colaboradores de organizações de criptomoedas e tecnologia.20 Os atacantes fizeram-se passar por programadores ou recrutadores, convidaram alvos a colaborar num repositório do GitHub e convenceram-nos a clonar e executar os conteúdos do mesmo, que continham pacotes npm maliciosos. O Diamond Sleet realizou um comprometimento de cadeia de abastecimento de uma empresa de TI baseada na Alemanha em agosto de 2023 e usou como arma uma aplicação de uma firma de TI baseada no Taiwan para realizar um ataque de cadeia de abastecimento em novembro de 2023. O Diamond Sleet e o Onyx Sleet ambos exploraram a vulnerabilidade TeamCity CVE-2023- 42793 em outubro de 2023, que permite que um atacante realize um ataque de execução de código remota e obtenha controlo administrativo do servidor. O Diamond Sleet utilizou esta técnica para comprometer centenas de vítimas em várias indústrias nos Estados Unidos e em países europeus, incluindo Reino Unido, Dinamarca, Irlanda e Alemanha. O Onyx Sleet explorou essa mesma vulnerabilidade para comprometer pelo menos 10 vítimas, incluindo um fornecedor de software na Austrália e uma agência governamental na Noruega, e utilizou ferramentas pós-comprometimento para executar payloads adicionais.

Ciberatores norte-coreanos visaram os Estados Unidos, a Coreia do Sul e os seus aliados

Os atores de ameaças norte-coreanos continuaram a visar os seus supostos adversários de segurança nacional. Esta atividade cibernética exemplificou o objetivo geopolítico de contrariar a aliança trilateral entre os Estados Unidos, a Coreia do Sul e o Japão. Os líderes destes três países solidificaram a sua parceria durante a cimeira de Camp David em agosto de 2023.21 O Ruby Sleet e o Onyx Sleet continuaram as suas tendências de visar organizações aeroespaciais e de defesa nos Estados Unidos e na Coreia do Sul. O Emerald Sleet manteve a sua campanha de reconhecimento e spear-phishing a visar diplomatas e especialistas da península coreana sobre governo, grupos de especialistas/ONG, comunicação social e educação. O Pearl Sleet continuou as suas operações a visar entidades sul-coreanas que interagem com desertores e ativistas norte-coreanos com o foco em problemas de direitos humanos norte-coreanos em junho de 2023. A Microsoft crê que o motivo por trás destas atividades é a recolha de inteligência.

Atores norte-coreanos implementam backdoors em software legítimo

Os atores de ameaças norte-coreanos também utilizaram backdoors para software legítimo, aproveitando vulnerabilidades em software existente. Durante a primeira metade de 2023, o Diamond Sleet utilizou frequentemente malware VNC transformado em arma para comprometer vítimas. O Diamond Sleet também continuou a utilizar malware de leitor de PDF transformado em arma em julho de 2023, técnicas que as Informações sobre Ameaças da Microsoft analisaram numa publicação de blogue de setembro de 2022.22 O Ruby Sleet também utilizou provavelmente um instalador em backdoor de um programa de documentos eletrónicos sul-coreano em dezembro de 2023.

Coreia do Norte utilizou ferramentas de IA para possibilitar atividades cibernéticas maliciosas

Atores de ameaças norte-coreanos estão a adaptar-se à era da IA. Estão a aprender a utilizar ferramentas com tecnologia de grandes modelos de linguagem (LLM) de IA para tornar as suas operações mais eficientes e eficazes. Por exemplo, a Microsoft e a OpenAI observaram o Emerald Sleet a utilizar LLM para melhorar campanhas de spearphishing a visar especialistas da península coreana.23 O Emerald Sleet utilizou LLM para pesquisar vulnerabilidades e realizar reconhecimento em organizações e especialistas focados na Coreia do Norte. O Emerald Sleet também recorreu a LLM para resolver problemas técnicos, realizar tarefas de scripting básicas e criar rascunhos de conteúdo para mensagens de spear-phishing. A Microsoft fez uma parceria com a OpenAI para desativar contas e ativos associados ao Emerald Sleet.

A China celebrará o 75.º aniversário da fundação da República Popular da China em outubro, e a Coreia do Norte continuará a avançar com programas chave de armas avançadas. Entretanto, com eleições na Índia, na Coreia do Sul e nos Estados Unidos, é provável que vejamos atores cibernéticos e de influência chineses, e até um certo ponto ciberatores norte-coreanos, a trabalhar para visar estas eleições.

A China irá, no mínimo, criar e amplificar conteúdo gerado por IA que beneficie os seus pontos de vista nestas eleições importantes. Embora o impacto de tal conteúdo para influenciar públicos-alvo permaneça baixo, a experimentação crescente da China no aumento de memes, vídeos e áudio continuará, e pode dar frutos no futuro. Embora os ciberatores chineses tenham realizado reconhecimento de instituições politicas dos EUA há bastante tempo, estamos preparados para ver atores de influência a interagir com americanos para gerar atividade e potencialmente pesquisar perspetivas sobre política dos EUA.

Por fim, à medida que a Coreia do Norte empreende novas políticas de governo e segue planos ambiciosos para teste de armas, podemos esperar assaltos de criptomoedas e ataques de cadeia de abastecimento cada vez mais sofisticados a visar o setor de defesa, destinados a canalizar dinheiro para o regime e facilitar o desenvolvimento de novas capacidades militares.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 de janeiro de 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 January 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    “Campanha provável do “Spamouflage” do PRC visa dezenas de ministros canadianos em campanha de desinformação”, outubro de 2023,

  8. [8]
  9. [9]

    Várias fontes documentaram a campanha de propaganda em curso do governo chinês que procuram provocar indignação internacional sobre a decisão do Japão de despejar águas residuais nucleares do acidente nuclear de Fukushima Daiichi 2011, consulte: Desinformação da China Alimenta Ira Sobre o Despejo de Água de Fukushima”, 31 de agosto de 2023“Japão visado por propaganda chinesa e campanha furtiva online”, 8 de junho de 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Operações de Ciberinfluência Estado-nação Relatórios de estados-nações Engenharia social Atores de ameaças

Artigos relacionados

As ameaças digitais provenientes da Ásia Leste aumentam em termos de amplitude e eficácia

Explore as tendências emergentes no cenário de ameaças em evolução da Ásia Leste, onde a China conduz operações cibernéticas e de influência (IO) generalizadas, enquanto os atores de ameaças cibernéticas norte-coreanos demonstram uma sofisticação crescente.
Saber Mais

Tirar partido da economia de confiança: fraude de engenharia social

Explore um panorama digital em evolução onde a confiança é ao mesmo tempo uma mais-valia e uma vulnerabilidade. Descubra as táticas de fraude de engenharia social que os ciberatacantes mais utilizam e consulte estratégias que podem ajudar a identificar e derrotar ameaças de engenharia social concebidas para manipular a natureza humana.
Saber Mais

Irão intensifica operações de influência cibernética para apoiar o Hamas

Descubra os pormenores das operações de influência cibernética do Irão que apoiam o Hamas em Israel. Saiba como as operações têm progredido ao longo das diferentes fases da guerra e examine as quatro principais táticas, técnicas e procedimentos (TTP) de influência que o Irão mais favorece.
Saber mais

Siga o Microsoft Security