Trace Id is missing

Samma mål, nya spelböcker: Östasiatiska hotaktörer använder sig av unika metoder

Ladda ned
Dela
Abstrakt illustration av ett örlogsfartyg med grafiska röda cirklar och svarta nätelement mot en rosa bakgrund.

Microsoft har observerat flera anmärkningsvärda cyberhots- och påverkanstrender från Kina och Nordkorea sedan juni 2023 som inte bara visar ett ökat fokus på välbekanta mål, utan också försöker använda mer sofistikerade påverkanstekniker för att uppnå sina mål.

Kinesiska cyberaktörer valde brett dessa tre målområden under de senaste sju månaderna:

  • En uppsättning kinesiska aktörer fokuserade i stor skala på öar i Stillahavsområdet.
  • En andra uppsättning med kinesiska aktiviteter fortsatte att rikta en rad cyberattacker mot regionala mål i regionen kring Sydkinesiska havet.
  • Samtidigt äventyrade en tredje uppsättning kinesiska aktörer USA:s försvarsindustriella bas.

Kinesiska påverkansaktörer finslipade sina tekniker och experimenterade med nya medier, snarare än att bredda sina måls geografiska omfattning. Kinesiska påverkanskampanjer fortsatte att förfina AI-genererat och AI-förbättrat innehåll. Påverkansaktörerna bakom dessa kampanjer har visat en vilja att såväl förstärka AI-genererade media som gynnar deras strategiska berättelser, såväl som att skapa sitt eget video-, mem- och ljudinnehåll. Sådan taktik har använts i kampanjer med avsikt att skapa splittring i USA och förvärra sprickorna i Asien-Stillahavsområdet, med länder som Taiwan, Japan och Sydkorea. Dessa kampanjer fick varierande genomslag utan att någon enskild formel producerade något konsekvent målgruppsengagemang.

Nordkoreanska cyberaktörer skapade rubriker genom ett ökat antal attacker mot mjukvaruförsörjningskedjor och kryptovalutabedrägerier under det senaste året. Medan strategiska nätfiskekampanjer riktade mot forskare som studerar den koreanska halvön förblev en konstant trend, verkade de nordkoreanska hotaktörerna i allt högre utsträckning använda legitim programvara så att de skulle kunna kompromettera ännu fler offer.

Gingham Typhoon riktar in sig på myndigheter, IT-företag och multinationella företag i Stillahavsområdet

Under sommaren 2023 observerade Microsoft Threat Intelligence omfattande aktivitet från den Kinabaserade spiongruppen Gingham Typhoon som riktade sig mot nästan hela södra Stillahavsområdet. Gingham Typhoon är den mest aktiva aktören i den här regionen och utsätter internationella organisationer, statliga myndigheter och IT-sektorn för komplexa nätfiskekampanjer. Högljudda kritiker av de kinesiska myndigheterna är också bland offren.

Diplomatiska allierade i Kina som har blivit offer för den senaste tidens Gingham Typhoon-aktivitet omfattar såväl myndighetskontor, handelsrelaterade institutioner, internetleverantörer som ett transportföretag.

Ökad geopolitisk och diplomatisk konkurrens i regionen kan vara motiv för dessa offensiva cyberaktiviteter. Kina eftersträvar strategiska partnerskap med länderna i södra Stillahavsregionen, så att man kan utöka de ekonomiska banden och erbjuda diplomatiska och säkerhetsrelaterade överenskommelser. Det kinesiskt cyberspioneriet i den här regionen riktar sig även mot ekonomiska partners.

Kinesiska aktörer vände sig exempelvis i storskalig inriktning mot multinationella organisationer i Papua Nya Guinea, en mångårig diplomatisk partner som drar nytta av flera BRI-projekt (Belt and Road Iniative), bl.a. byggandet av en större motorväg som förbinder en regeringsbyggnad i Papua Nya Guinea med huvudstadens huvudväg.1

De större cirklarna på kartan visar på frekvensen av de cyberhot som riktas mot önationerna i Stilla havet
Bild 1: Observerade händelser relaterade till Gingham Typhoon från juni 2023 till januari 2024. Den här aktiviteten visar på deras fortsatta fokus på önationerna i Stilla havet. Detta fokus på den här regionen har dock pågått under längre tid. De geografiska platserna och symbolikens diameter är representativa.

Kinesiska hotaktörer behåller fokus på Sydkinesiska havet med västs militärövningar

Kinabaserade hotaktörer fortsatte att rikta in sig på mål som relaterar till Kinas ekonomiska och militära intressen i och runt Sydkinesiska havet. Dessa aktörer komprometterade opportunistiskt sina offer inom myndighets- och telekommunikationssfärerna i ASEAN (Association of Southeast Asian Nations). Cyberaktörer med stöd från den kinesiska staten verkade vara särskilt intresserade av mål som relaterar till de många amerikanska militärövningarna som genomfördes i regionen. I juni 2023 angrep Raspberry Typhoon, en nationell statsaktör baserad i Kina, framgångsrikt militära och beslutsfattande mål i Indonesien och ett malaysiskt marinsystem veckorna före en unik multilateral marinövning som inbegrep Indonesien, Kina och USA.

På liknande sätt blev mål relaterade till militärövningar mellan USA och Filippinerna angripna av en annan kinesisk cyberaktör, nämligen Flax Typhoon. Samtidigt komprometterade Granite Typhoon, som är ytterligare en Kina-baserad hotaktör, främst telekommunikationsmål i regionen under samma period, där offren återfanns i Indonesien, Malaysia, Filippinerna, Kambodja och Taiwan.

Sedan publiceringen av Microsofts blogg om Flax Typhoon har Microsoft kunnat observera nya Flax Typhoon-mål i Filippinerna, Hongkong, Indien och USA under hösten och vintern 2023.2 Den här aktören angriper ofta telekommunikationssektorn, vilket ofta leder till många nedströmseffekter.

En karta som visar Microsofts hotinformationsdata om de mest utsatta regionerna i Asien,
Bild 2: Observerade händelser med fokus på länder i eller kring Sydkinesiska havet från Flax Typhoon, Granite Typhoon eller Raspberry Typhoon. De geografiska platserna och symbolikens diameter är representativa.

Nylon Typhoon komprometterar utrikespolitiska myndigheter och organisationer över hela världen

Den Kinabaserade hotaktören Nylon Typhoon har fortsatt sin sedan länge etablerade praxis att angripa utrikespolitiska institutioner i länder runt om i världen. Mellan juni och december 2023 kunde Microsoft observera Nylon Typhoon vid myndigheter i olika länder i Sydamerika, bl.a. Brasilien, Guatemala, Costa Rica och Peru. Hotaktören kunde även observeras i Europa, där man komprometterade statliga myndigheter i Portugal, Frankrike, Spanien, Italien och Storbritannien. Medan merparten av målen i Europa var statliga myndigheter, så komprometterades även vissa IT-företag. Syftet med dessa angrepp är att samla in information.

Kinesisk hotgrupp riktar sig mot militära mål och kritisk infrastruktur i USA

Dessutom ökade Storm-0062:s aktivitet under hösten och vintern 2023. En stor del av den här aktiviteten komprometterade amerikanska försvarsrelaterade statliga myndigheter och organisationer, och då även de entreprenörer som tillhandahåller de tekniska tjänsterna kring de rymd-, försvars- och naturresurser som är avgörande för USA:s nationella säkerhet. Storm-0062 upprepade dessutom attacker mot militära mål i USA. Det är dock oklart huruvida gruppen lyckades i de komprometteringsförsök man gav sig in på.

USA:s försvarsindustriella bas förblir ett mål för Volt Typhoon även i fortsättningen. I maj 2023 tillskrev Microsoft Volt Typhoon, en statsfinansierad aktör baserad i Kina, attacker mot amerikanska kritiska infrastrukturorganisationer. Volt Typhoon skaffade sig åtkomst till organisationers nätverk med LOTL-tekniker och ”hands-on-keyboard”-aktiviteter.3 Dessa taktiker gjorde det möjligt för Volt Typhoon att i det fördolda upprätthålla obehörig åtkomst till målnätverk. Från juni 2023 till december 2023 fortsatte Volt Typhoon att rikta in sig på kritisk infrastruktur, men fortsatte också med resursutveckling genom att kompromettera enheter på småföretag och hemmakontor över hela USA.

I vår rapport från september 2023 beskrev vi hur kinesiska påverkansoperationstillgångar hade börjat använda generativ AI för att skapa snyggt och engagerande visuellt innehåll. Under hela sommaren har Microsoft Threat Intelligence fortsatt att identifiera AI-generade mem med fokus på USA som förstärkte kontroversiella inhemska problem och som kritiserade den aktuella administrationen. Påverkansoperationsaktörer med Kinakopplngar har fortsatt att använda AI-förbättrat och AI-genererat mediainnehåll (”AI innehåll”) i påverkanskampanjer i tilltagande volym och frekvens under hela året.

AI expanderar (men misslyckas med att påverka)

De mest produktiva av de här aktörerna som använder AI-innehåll är Storm-1376 – Microsofts benämning på den aktör med kopplingar till det kinesiska kommunistpartiet som är mest känd som ”Spamouflage” eller ”Dragonbridge”. Under vintern började även andra aktörer med kopplingar till det kinesiska kommunistpartiet använda ett större utbud av AI-innehåll för att förstärka sina påverkansoperationer online. Detta omfattade bl.a. en anmärkningsvärd ökning av innehåll med taiwanesiska politiker inför president- och domstolsvalen den 13 januari. Detta var första gången som Microsoft Threat Intelligence kunde observera hur en nationell statsaktör använde AI-innehåll i sina försök att påverka politiska val i andra länder.

AI-genererat ljud: I samband med Taiwans valdag publicerade Storm-1376 misstänkta AI-genererade ljudklipp av Foxconns ägare Terry Gou, oberoende kandidat i Taiwans presidentval, som valde att dra sig ur presidentvalet i november 2023. I ljudinspelningarna framstod det som om Gous röst gav sitt stöd till en av de andra kandidaterna i presidentvalet. Gous röst i inspelningarna är sannolikt AI-genererad eftersom Gou aldrig har gjort något sådant uttalande. YouTube vidtog snabbt åtgärder mot det här innehållet innan det hann nå ut till något större antal användare. De här videorna dök upp bara några dagar efter det att ett förfalskat brev från Terry Gou som gav sitt stöd åt samma kandidat hade börjat cirkulera online. Taiwans ledande organisationer för faktakontroll avfärdade brevet. I Gous kampanj uppgav man också att brevet var förfalskat och att man därför skulle vidta rättsliga åtgärder.4 Gou gav inte något formellt stöd till någon av presidentkandidaterna i valet.
En man i kostym talar från ett podium med kinesisk text och en bild av en ljudvågform i förgrunden.
Bild 3: Videor som publicerades av Storm-1376 använde sig av AI-genererade röstinspelningar av Terry Gou, i syfte att han skulle framstå som om han stödde en annan kandidat.
AI-genererade nyhetsankare: AI-genererade nyhetsankare som genererats av tredjepartsteknikföretag, med hjälp av det kinesiska teknikföretaget ByteDances Capcut-verktyg, började dyka upp i en mängd olika kampanjer i vilka det förekom taiwanesiska befattningshavare,5 samt i meddelanden på Myanmar. Storm-1376 har använt sig av sådana AI-genererade nyhetsankare åtminstone sedan februari 2023,6 men sett till volym så har den här typen av innehåll med nyhetsankare ökat påtagligt under de senaste månaderna.
Ett kollage med militärfordon
Bild 4: Storm-1376 lade upp videor på mandarin och engelska som påstod att USA och Indien var ansvariga för oroligheter i Myanmar. Samma AI-genererade nyhetsankare används i ett antal av dessa videor.
AI-förbättrade videor: Enligt såväl Kanadas regering som oberoende forskare så har AI-förbättrade videor använt sig av likheten med en Kanada-baserad kinesisk dissident i en kampanj riktad mot kanadensiska parlamentsledamöter.7 Dessa videor, som bara var en del av en multiplattformskampanj som även inbegrep trakasserier riktade mot kanadensiska politiker på deras sociala medier-konton, visade falska videor där dissidenten uttryckte provocerande kommentarer om Kanadas regering. Liknande AI-förbättrade videor med denna dissident har använts tidigare.
En person sitter vid ett skrivbord
Bild 5: AI-aktiverade deepfake-videor av en dissident som talar om religion på ett nedsättande sätt. Även om de använder liknande taktik som i Kanada-kampanjen, så verkar dessa videor vara orelaterade vad gäller innehåll.
AI-genererade mem: Storm-1376 producerade en serie AI-genererade mem av William Lai, Taiwans dåvarande presidentkandidat för DDP (Taiwans demokratiska progressiva parti) i december med ett nedräkningstema som angav de "X dagar" som återstod tills DPP skulle förlora makten.
Grafisk representation med två bilder sida vid sida, en med en figur med ett rött x och den andra med samma figur omärkt,
Bild 6: AI-genererade mem anklagar DPP-presidentkandidaten William Lai för att förskingra pengar från Taiwans infrastruktursutvecklingsprogram. Dessa mem innehöll förenklade tecken (som används i Kina men inte i Taiwan) och var en del av en serie som visade den dagliga ”nedräkningen till dess att DPP skulle förlora makten”.
Tidslinjeinfografik som visar hur AI-genererat innehåll påverkade valet i Taiwan från december 2023 till januari 2024.
Bild 7: En tidslinje med AI-genererat och AI-förbättrat innehåll som dök upp inför Taiwans president- och parlamentsval i januari 2024. Storm-1376 förstärkte flera av dessa delar av innehållet och låg bakom skapandet av innehåll i två kampanjer.

Storm-1376 fortsätter med sina reaktiva meddelandekampanjer, ibland med konspiratoriska narrativ

Storm-1376 – en aktör vars påverkansoperationer omfattar över 175 webbplatser på 58 språk – har fortsatt att med hög frekvens driva reaktiva meddelandekampanjer kring högprofilerade geopolitiska händelser, särskilt sådana som framställer USA i ett ogynnsamt ljus eller främjar det kinesiska kommunistpartiets intressen i Asien och stillahavsområdet. Sedan vår senaste rapport i september 2023 har dessa kampanjer utvecklats på flera viktiga sätt, bl.a. genom att införliva AI-genererade foton i syfte att vilseleda mottagarna, uppmuntra konspiratoriskt innehåll – särskilt mot den amerikanska regeringen – och rikta in sig på nya befolkningsgrupper, exempelvis i Sydkorea, med lokaliserat innehåll.

1. Påståenden om att USA:s ”vädervapen” startade skogsbränderna på Hawaii

I augusti 2023, när skogsbränderna rasade på den nordvästra kusten av Maui, Hawaii, tog Storm-1376 chansen att sprida konspiratoriska narrativ på flera sociala medieplattformar. I dessa inlägg hävdades det att den amerikanska regeringen medvetet hade anlagt bränderna för att testa ett militärt ”vädervapen”. Förutom att lägga upp texten på minst 31 språk på dussintals webbplatser och plattformar, så använde Storm-1376 AI-genererade bilder av brinnande kustvägar och bostäder i syfte att göra innehållet mer iögonfallande.8

En sammansatt bild med stämpeln ”Falskt” över scener med dramatiska bränder.
Bild 8: Storm-1376 publicerade konspiratoriskt innehåll bara några dagar efter det att skogsbränderna hade brutit ut, och hävdade att bränderna var resultatet av att amerikanska myndigheter testade ett "meteorologiskt vapen". Dessa inlägg åtföljdes ofta av AI-genererade bilder av massiva bränder.

2. Eldar på upprördheten över Japans utsläpp av avloppsvatten från kärnkraftverk

Storm-1376 lanserade en storskalig, aggressiv meddelandekampanj som kritiserade den japanska regeringen efter det att Japan hade börjat släppa ut renat radioaktivt avloppsvatten i Stilla havet den 24 augusti 2023.9 I sitt innehåll uttryckte Storm-1376 tvivel på det internationella atomenergiorganets (IAEA) vetenskapliga bedömning att utsläppet var säkert. Storm-1376 skickade ut meddelanden helt urskillningslöst på sociala medieplattformar på många språk, däribland japanska, koreanska och engelska. En del innehåll anklagade till och med USA för att medvetet bedriva förgiftningsoperationer i andra länder för att upprätthålla ”vattenhegemoni”. Innehållet i den här kampanjen bär många kännetecken på att det är AI-genererat.

I vissa fall har Storm-1376 återanvänt innehåll som använts av andra aktörer i det kinesiska propagandaekosystemet, däribland influerare på sociala medier med kopplingar till kinesiska statsmedier.10 Influerare och tillgångar som tillhör Storm-1376 laddade upp tre identiska videor som kritiserade utsläppet av avloppsvatten från Fukushima. Sådana fall av inlägg från olika aktörer, som verkar använda identiskt innehåll i takt med varandra, vilket kan tyda på samordning av eller gemensamt fokus för meddelandena, har ökat under 2023.

En sammansatt bild med en satirisk illustration av människor, en skärmdump från en Godzilla-video och ett inlägg på sociala medier
Bild 9: AI-genererade mem och bilder som är kritiska till utsläppet av avloppsvatten från Fukushima från hemliga kinesiska IO-tillgångar (till vänster) och kinesiska regeringstjänstemän (i mitten). Influerare knutna till kinesiska statsägda medier förstärkte också regeringsanpassade meddelanden som var kritiska till utsläppet (till höger).

3. Förstärker oenighet i Sydkorea

Relaterat till utsläppet av avloppsvatten i Fukushima gjorde Storm-1376 en samlad ansträngning med fokus på Sydkorea, dels med lokalt innehåll som eldar på de protester som förekommer i landet mot utsläppet, och dels med innehåll som är kritiskt mot den japanska regeringen. Den här kampanjen omfattade hundratals inlägg på koreanska på flera plattformar och webbplatser, däribland sydkoreanska sociala medier som Kakao Story, Tistory och Velog.io.11

Som en del av denna riktade kampanj förstärkte Storm-1376 aktivt kommentarer och handlingar från Minjoo-ledaren och den misslyckade presidentkandidaten 2022, Lee Jaemyung (이재명, 李在明). Lee kritiserade Japans drag som ”terror genom förorenat vatten” som var liktydigt med ett ”andra Stillahavskrig”. Han anklagade också Sydkoreas nuvarande regering för att vara en ”medbrottsling eftersom man stöder” Japans beslut och inledde i protest en hungerstrejk som varade i 24 dagar.12

En tecknad serie som tar upp miljöföroreningar och dess påverkan på det marina livet.
Bild 10: Mem på koreanska från den sydkoreanska bloggplattformen Tistory förstärker oenigheten om utsläppet av avloppsvatten från Fukushima.

4. Urspårningen i Kentucky

Under Thanksgiving-helgen i november 2023 spårade ett tåg med smält svavel ur i Rockcastle County, Kentucky. Ungefär en vecka efter urspårningen lanserade Storm-1376 en kampanj i sociala medier som förstärkte olyckans karaktär, spred konspirationsteorier riktade mot den amerikanska regeringen och lyfte fram politisk splittring inom den amerikanska väljarkåren, och som i slutändan uppmuntrade till misstro och besvikelse mot den amerikanska regeringen. Storm-1376 uppmanade mottagarna att överväga om den amerikanska regeringen kan ha orsakat urspårningen och ”medvetet döljer något”.13 Vissa meddelanden drog till och med paralleller mellan urspårningen och påstådda mörkläggningsteorier kring 11 september-attackerna och anfallet mot Pearl Harbor.14

Kinesiska sockpuppet-konton i påverkansoperationer uttrycker olika perspektiv på politiska frågor i USA

I vår rapport från september 2023 lyfte vi fram hur sociala medier-konton med koppling till det kinesiska kommunistpartiet har börjat imitera amerikanska väljare genom att utge sig för amerikaner representerande och som besvarar kommentarer från autentiska användare.15 Dessa försök att påverka mellanårsvalet i USA 2022 var ett nytt inslag i de kinesiska påverkansoperationer man observerat.

Microsoft Threat Analysis Center (MTAC) har observerat en liten men stadig ökning av ytterligare sockpuppet-konton, vilka vi med ett visst mått av tillförsikt bedömer drivs av det kinesiska kommunistpartiet. Dessa konton skapades så tidigt som 2012 eller 2013 på X (tidigare Twitter), men började publicera inlägg under sina nuvarande profiler först i början av 2023, vilket tyder på att kontona nyligen förvärvats eller gjorts om. Dessa sockpuppet-konton publicerar såväl originalproducerade videor, mem och infografik som återanvänt innehåll från andra högprofilerade politiska konton. Dessa konton publicerar nästan uteslutande inlägg kring inhemska frågor i USA – allt från droganvändning, immigrationspolitik och etniska spänningar i USA – men kommenterar emellanåt även ämnen av intresse för Kina, som utsläppet av avloppsvatten från kärnkraftverket i Fukushima eller kinesiska dissidenter.

En skärmbild av en dator med texten Krig och konflikter, narkotikaproblem, rasrelationer osv.
Bild 11: Under sommaren och hösten använde kinesiska sockpuppet-konton och profiler ofta engagerande bilder – emellanåt förstärkta genom generativ AI – i de inlägg där de diskuterade amerikansk politik och aktuella händelser.
Förutom att dessa politiska konton publicerar infografik eller videor med en politisk slagsida, så frågar de även sina följare om de håller med om de uttryckta åsikterna. Några av dessa konton har skrivit om olika presidentkandidater och sedan bett sina följare att kommentera huruvida de stöder dem eller inte. Syftet med den här taktiken kan vara att skapa ytterligare engagemang, eller möjligen för att få insikt i hur amerikanska medborgare ser på den amerikanska politiken. Fler sådana konton skulle kunna bidra till att öka insamlandet av information kring hur olika viktiga väljargrupper i USA tänker.
Jämförelse av delade skärmbilder: till vänster ett militärt jetflygplan som lyfter från ett hangarfartyg och till höger en grupp människor som sitter bakom en barriär
Bild 12: Kinesiska sockpuppet-konton ber om åsikter om politiska frågor från andra användare på X

2023 stal nordkoreanska cyberhotsaktörer hundratals miljoner dollar i kryptovaluta, genomförde attacker i programvaruförsörjningskedjor och fokuserade på de mål man såg som hot mot sin nationella säkerhet. Deras operationer genererar intäkter till den nordkoreanska regeringen – särskilt dess vapenprogram – och samlar in underrättelser om USA, Sydkorea och Japan.16

Infografik som visar vilka sektorer och länder som har varit mest utsatta för cyberhot.
Bild 13: De sektorer som Nordkorea har fokuserat mest på från juni 2023 till januari 2024 baserat på nationalstatsaviseringsdata från Microsoft Threat Intelligence.

Nordkoreanska cyberaktörer genomför en rekordstor kryptovalutakupp som genererar intäkter till statskassan.

FN uppskattar att nordkoreanska cyberaktörer har stulit kryptovalutor till ett värde på mer än 3 miljarder USD sedan 2017.17 Enbart under 2023 har man genomfört kupper på totalt mellan 600 miljoner USD och 1 miljard USD. Genom dessa stölder finansierar Nordkorea enligt uppgift över hälften av sina kärnvapens- och missilprogram, vilket gör det möjligt för Nordkorea att öka sin vapenarsenal och genomföra tester trots de sanktioner som riktats mot landet.18 Nordkorea genomförde många missiltester och militära övningar under det senaste året och skickade till och med framgångsrikt ut en militär spaningssatellit i rymden den 21 november 2023.19

Tre hotaktörer som spårats av Microsoft – Jade Sleet, Sapphire Sleet och Citrine Sleet – har sedan juni 2023 mest fokuserat på kryptovalutamål. Jade Sleet genomförde stora kryptovalutakupper, medan Sapphire Sleet genomförde mindre men mer frekventa kryptovalutastölder. Microsoft tillskrev Jade Sleet stölden av kryptovaluta till ett värde på minst 35 miljoner USD från ett Estland-baserat kryptovalutaföretag i början av juni 2023. Microsoft tillskrev även Jade Street kryptovalutarånet till ett värde på mer än 125 miljoner USD från en Singapore-baserad kryptovalutaplattform en månad senare. Jade Sleet började kompromettera kryptovalutacasinon online i augusti 2023.

Sapphire Sleet komprometterade konsekvent många anställda, såväl chefer och kryptovalutautvecklare som riskkapitalister och andra finansiella organisationer. Sapphire Sleet utvecklade också nya tekniker, som att skicka falska virtuella mötesinbjudningar med länkar till en angripardomän och registrera falska jobbrekryteringswebbplatser. Citrine Sleet följde upp 3CX-försörjningskedjeattacken i mars 2023 genom att kompromettera ett nedströmsföretag baserat i Turkiet och specialiserat på kryptovaluta och digitala tillgångar. Offret var värd för en sårbar version av 3CX-programmet som var kopplad till den komprometterade försörjningskedjan.

Nordkoreanska cyberaktörer hotar IT-sektorn med nätfiske och attacker mot programvaruförsörjningskedjan

Nordkoreanska hotaktörer genomförde också attacker mot IT-företag i programvaruförsörjningskedjan, vilket resulterade i åtkomst till kunder nedströms. Jade Sleet använde GitHub-lagringsplatser och NPM-paket som vapen i en kampanj med social manipulering och nätfiske som riktade sig till anställda i kryptovaluta- och teknikorganisationer.20 Angriparna efterliknade utvecklare eller rekryterare, och bjöd in offren till att samarbeta kring en GitHub-lagringsplats och övertygade dem att klona och köra innehållet, vilket innehöll skadliga NPM-paket. Diamond Sleet genomförde en kompromettering av försörjningskedjan för ett Tyskland-baserat IT-företag i augusti 2023 och använde en ansökan från ett Taiwanbaserat IT-företag som vapen i avsikt att genomföra en försörjningskedjeattack i november 2023. Både Diamond Sleet och Onyx Sleet utnyttjade TeamCity CVE-2023-42793-sårbarheten i oktober 2023, vilken gör det möjligt för en angripare att utföra en fjärrkörningsattack och få administrativ kontroll över servern. Diamond Sleet använde denna teknik för att kompromettera hundratals offer i olika industrier i USA och Europa, däribland länder som Storbritannien, Danmark, Irland och Tyskland. Onyx Sleet utnyttjade samma sårbarhet för att kompromettera minst 10 offer – däribland en programvaruleverantör i Australien och en statlig myndighet i Norge – och använde postkomprometteringsverktyg för att utföra ytterligare nyttolaster.

Nordkoreanska cyberaktörer angrep USA, Sydkorea och deras allierade

Nordkoreanska hotaktörer fortsatte att angripa dem som man uppfattar som sina motståndare när det gäller nationell säkerhet. Denna cyberaktivitet exemplifierar Nordkoreas geopolitiska mål att motverka den trilaterala alliansen mellan USA, Sydkorea och Japan. De tre ländernas ledare befäste detta partnerskap under toppmötet i Camp David i augusti 2023.21 Ruby Sleet och Onyx Sleet fortsatte med att fokusera på flyg- och försvarsorganisationer i USA och Sydkorea. Emerald Sleet upprätthöll sin spanings- och nätfiskekampanj riktad mot diplomater och Koreaexperter inom regering, tankesmedjor/icke-statliga organisationer, media och utbildning. Pearl Sleet fortsatte i juni 2023 sin verksamhet riktad mot sydkoreanska mål som engagerat sig för nordkoreanska avhoppare och mot aktivister fokuserade på nordkoreanska människorättsfrågor. Microsoft bedömer att motivet bakom dessa aktiviteter är insamling av information.

Nordkoreanska aktörer implementerar bakdörrstrojaner i legitim programvara

Nordkoreanska hotaktörer använde även bakdörrstrojaner i legitim programvara så att de kunde utnyttja sårbarheter i den befintliga programvaran. Under det första halvåret 2023 använde Diamond Sleet ofta skadlig VNC-kod som vapen för att kompromettera sina offer. Diamond Sleet återupptog också användningen av skadlig programvara som vapen för PDF-läsare i juli 2023, vilket är en teknik som Microsoft Threat Intelligence analyserade i ett blogginlägg från september 2022.22 I december 2023 använde Ruby Sleet sannolikt även ett bakdörrsinstallationsprogram för ett sydkoreanskt program för elektroniska dokument.

Nordkorea använde AI-verktyg för att möjliggöra skadliga cyberaktiviteter

Nordkoreanska hotaktörer anpassar till den nya AI-eran. De lär sig att använda verktyg som drivs av stora AI-språkmodeller (LLM) så att de kan effektivisera sin verksamhet. Microsoft och OpenAI observerade exempelvis att Emerald Sleet använder stora språkmodeller för att förbättra nätfiskekampanjer riktade mot Koreaexperter.23 Emerald Sleet använde stora språkmodeller för att undersöka sårbarheter och spionera på organisationer och experter med fokus på Nordkorea. Emerald Sleet använde också stora språkmodeller för att felsöka tekniska problem, utföra grundläggande skriptuppgifter och skapa utkast till innehåll för nätfiskemeddelanden. Microsoft samarbetade med OpenAI för att inaktivera konton och tillgångar med kopplingar till Emerald Sleet.

Kina kommer att fira 75-årsdagen av grundandet av Folkrepubliken Kina i oktober, och Nordkorea kommer att fortsätta att driva på viktiga avancerade vapenprogram. Samtidigt som medborgarna i Indien, Sydkorea och USA går till valurnorna kommer vi sannolikt att få bevittna hur kinesiska cyber- och påverkansaktörer, och i viss mån nordkoreanska cyberaktörer, arbetar med fokus på dessa val.

Kina kommer åtminstone att skapa och förstärka AI-genererat innehåll som gynnar landets positioner i dessa högprofilerade val. Även om effekterna av sådant innehåll när det gäller att påverka opinionen fortfarande är låg, så kommer Kinas experiment med att förbättra mem, videor och ljud att tillta i omfattning – vilket kan visa sig vara effektivt i framtiden. Även om kinesiska cyberaktörer länge har bedrivit spionage mot amerikanska politiska institutioner, så får vi vara beredda på att se påverkansaktörer interagera med amerikaner för att väcka engagemang och få bättre perspektiv på amerikansk politik.

Och slutligen, när Nordkorea inleder ny regeringspolitik och fullföljer sina ambitiösa vapentestplaner, kan vi förvänta oss allt mer sofistikerade kryptovalutakupper och försörjningskedjeattacker riktade mot försvarssektorn, vilket såväl drar in pengar till regimen som underlättar utvecklingen av nya militära förmågor.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 januari 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?”, 11 januari 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    “Möjlig kinesisk ”Spamouflage”-kampanj mot dussintals kanadensiska parlamentsledamöter i form av en desinformationskampanj,” oktober 2023,

  8. [8]
  9. [9]

    Flera källor har dokumenterat den kinesiska regeringens pågående propagandakampanj som syftar till att väcka internationell upprördhet över Japans beslut att släppa ut avloppsvatten från kärnkraftverket i Fukushima Daiichi 2011. Mer information finns i: Kinas desinformation väcker vrede kring utsläppet av avloppsvatten från Fukushima”, 31 augusti 2023“Japan utsatt för kinesisk propaganda och onlinekampanjer i det fördolda”, 8 juni 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Cyberpåverkansoperationer Nationell statsaktör Rapporter om nationella statsaktörer Social manipulering Hotaktörer

Relaterade artiklar

Digitala hot från Östasien ökar, både vad gäller bredd och effektivitet

Fördjupa dig i och utforska framväxande trender i Östasiens föränderliga hotlandskap, där Kina genomför omfattande cyber- och påverkanskampanjer, medan Nordkoreas cyberhotaktörer uppvisar en tilltagande skicklighet.
Mer information

Livnär sig på förtroendeekonomin: bedrägeri med social manipulering

Utforska ett digitalt landskap under ständig utveckling där tillit både är hårdvaluta och sårbarhet. Upptäck de metoder för social manipulering som cyberkriminella använder mest, och gå igenom strategier som kan hjälpa dig att identifiera och utmanövrera hot via social manipulering som har för avsikt att lura människor.
Mer information

Iran intensifierar cyberbaserade påverkansoperationer för att stödja Hamas

Upptäck mer om hur Irans cyberbaserade påverkansoperationer stöder Hamas i Israel. Ta del av hur operationerna har utvecklats genom krigets olika faser och lär dig mer om de fyra största påverkanstaktiker, tekniker och procedurer (Tactics, Techniques, Procedures, TTP) som Iran föredrar.
Mer information

Följ Microsoft Security