ลงทะเบียน ตอนนี้เพื่อดูการสัมมนาผ่านเว็บตามต้องการ ซึ่งจะนำเสนอข้อมูลเชิงลึกจาก Microsoft Digital Defense Report ปี 2024

เป้าหมายเดิม คู่มือการวางแผนกลยุทธ์ใหม่: ผู้ดำเนินการภัยคุกคามในตะวันออกกลางใช้วิธีการที่เป็นเอกลักษณ์

ดาวน์โหลด

แชร์

ภาพประกอบแบบนามธรรมของกองทัพเรือที่มีวงกลมกราฟิกสีแดงและองค์ประกอบตาข่ายสีดำตัดกับพื้นหลังสีชมพู

Microsoft ได้สังเกตเห็นแนวโน้มทางไซเบอร์และการแทรกแซงด้านข้อมูลข่าวสารที่โดดเด่นหลายประการจากจีนและเกาหลีเหนือตั้งแต่เดือนมิถุนายน 2023 ซึ่งแสดงให้เห็นว่าไม่เพียงแต่มีเป้าหมายที่คุ้นเคยเพิ่มขึ้นเป็นสองเท่า แต่ยังพยายามใช้เทคนิคการแทรกแซงด้านข้อมูลข่าวสารที่ซับซ้อนมากขึ้นเพื่อให้บรรลุเป้าหมาย

ผู้ดำเนินการทางไซเบอร์ในจีนเลือกพื้นที่เป้าหมายอย่างกว้างๆ สามแห่งในช่วงเจ็ดเดือนที่ผ่านมา:

ผู้ดำเนินการทางไซเบอร์กลุ่มหนึ่งกำหนดเป้าหมายไปที่หน่วยงานต่างๆ ทั่วหมู่เกาะแปซิฟิกใต้
กิจกรรมกลุ่มที่สองของจีนยังคงโจมตีทางไซเบอร์อย่างต่อเนื่องต่อปรปักษ์ในภูมิภาคในทะเลจีนใต้
ในขณะเดียวกัน ผู้ดำเนินการของจีนกลุ่มที่สามได้บุกรุกฐานอุตสาหกรรมด้านกลาโหมของสหรัฐอเมริกา

ผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารของจีนพัฒนาเทคนิคของตนและทดลองใช้สื่อใหม่ๆ แทนที่จะขยายขอบเขตทางภูมิศาสตร์ของเป้าหมายของตน แคมเปญการแทรกแซงด้านข้อมูลข่าวสารในจีนยังคงปรับปรุงเนื้อหาที่สร้างโดย AI หรือเพิ่มประสิทธิภาพด้วย AI ผู้ดำเนินการแทรกแซงด้านข้อมูลข่าวสารที่อยู่เบื้องหลังแคมเปญเหล่านี้แสดงให้เห็นถึงความตั้งใจที่จะขยายทั้งสื่อที่สร้างโดย AI ซึ่งเป็นประโยชน์ต่อการเล่าเรื่องเชิงกลยุทธ์ ตลอดจนสร้างเนื้อหาวิดีโอ มีม และเสียงของตนเอง กลยุทธ์ดังกล่าวถูกนำมาใช้ในการรณรงค์ที่ทำให้เกิดความแตกแยกภายในสหรัฐอเมริกา และทำให้ความขัดแย้งรุนแรงขึ้นในภูมิภาคเอเชียแปซิฟิก รวมถึงไต้หวัน ญี่ปุ่น และเกาหลีใต้ แคมเปญเหล่านี้มีการตอบรับหลายระดับ โดยไม่มีสูตรตายตัวเดียวที่สร้างการมีส่วนร่วมของผู้ชมอย่างสม่ำเสมอ

ผู้ดำเนินการทางไซเบอร์ในเกาหลีเหนือขึ้นพาดหัวข่าวสำหรับการเพิ่มการโจมตีห่วงโซ่อุปทานซอฟต์แวร์และการปล้นสกุลเงินดิจิทัลในปีที่ผ่านมา ในขณะที่แคมเปญสเปียร์ฟิชชิ่งเชิงกลยุทธ์มุ่งเป้าไปที่นักวิจัยที่ศึกษาคาบสมุทรเกาหลียังคงเป็นที่นิยมอยู่ตลอดเวลา ผู้ดำเนินการภัยคุกคามชาวเกาหลีเหนือดูเหมือนจะใช้ประโยชน์จากซอฟต์แวร์ที่ถูกกฎหมายมากขึ้นในการบุกรุกเหยื่อมากยิ่งขึ้น

Gingham Typhoon มุ่งเป้าไปที่รัฐบาล ไอที และองค์กรข้ามชาติทั่วหมู่เกาะแปซิฟิกใต้

ในช่วงฤดูร้อนปี 2023 Microsoft Threat Intelligence สังเกตเห็นกิจกรรมที่แพร่หลายจากกลุ่มจารกรรม Gingham Typhoon ที่มีฐานอยู่ในจีน ซึ่งกำหนดเป้าหมายเกือบทุกประเทศในหมู่เกาะแปซิฟิกใต้ Gingham Typhoon เป็นผู้ดำเนินการที่กระตือรือร้นที่สุดในภูมิภาคนี้ ซึ่งโจมตีองค์กรระหว่างประเทศ หน่วยงานภาครัฐ และภาคไอทีด้วยแคมเปญฟิชชิ่งที่ซับซ้อน ผู้ที่ตกเป็นเหยื่อยังรวมถึงผู้วิพากษ์วิจารณ์รัฐบาลจีนด้วย

พันธมิตรทางการทูตของจีนที่ตกเป็นเหยื่อของกิจกรรม Gingham Typhoon เมื่อเร็วๆ นี้ ได้แก่ สำนักงานบริหารในรัฐบาล หน่วยงานที่เกี่ยวข้องกับการค้า ผู้ให้บริการอินเทอร์เน็ต และหน่วยงานด้านการขนส่ง

การแข่งขันทางภูมิรัฐศาสตร์และการทูตที่เพิ่มสูงขึ้นในภูมิภาคอาจเป็นแรงจูงใจสำหรับกิจกรรมทางไซเบอร์ที่น่ารังเกียจเหล่านี้ จีนดำเนินความร่วมมือเชิงยุทธศาสตร์กับประเทศต่างๆ ในหมู่เกาะแปซิฟิกใต้เพื่อขยายความสัมพันธ์ทางเศรษฐกิจ และเป็นตัวแทนข้อตกลงทางการทูตและความมั่นคง การจารกรรมทางไซเบอร์ของจีนในภูมิภาคนี้ยังติดตามพันธมิตรทางเศรษฐกิจด้วย

ตัวอย่างเช่น ผู้ดำเนินการของจีนมีส่วนร่วมในการกำหนดเป้าหมายขนาดใหญ่ขององค์กรข้ามชาติในปาปัวนิวกินี ซึ่งเป็นพันธมิตรทางการฑูตมายาวนานซึ่งได้รับประโยชน์จากโครงการริเริ่ม Belt and Road Initiative (BRI) หลายโครงการ รวมถึงการก่อสร้างทางหลวงสายหลักที่เชื่อมต่ออาคารรัฐบาลปาปัวนิวกินีกับถนนสายหลักของเมืองหลวง¹

แผนที่แสดงความถี่ของภัยคุกคามทางไซเบอร์แบบกำหนดเป้าหมายในประเทศหมู่เกาะแปซิฟิก โดยมีวงกลมขนาดใหญ่ขึ้น

รูปภาพที่ 1: เหตุการณ์ที่สังเกตพบจาก Gingham Typhoon ตั้งแต่เดือนมิถุนายน 2023 ถึงมกราคม 2024 กิจกรรมนี้ไฮไลต์ถึงการมุ่งเน้นไปที่ประเทศต่างๆ ในหมู่เกาะแปซิฟิกใต้อย่างต่อเนื่อง อย่างไรก็ตาม การกำหนดเป้าหมายส่วนใหญ่ยังคงดำเนินไปอย่างต่อเนื่อง ซึ่งสะท้อนถึงการมุ่งเน้นที่ภูมิภาคมานานหลายปี ตำแหน่งที่ตั้งทางภูมิศาสตร์และเส้นผ่านศูนย์กลางทางสัญลักษณ์วิทยาเป็นการแสดงแทน

ผู้ดำเนินการภัยคุกคามของจีนยังคงมุ่งความสนใจไปที่ทะเลจีนใต้ท่ามกลางการซ้อมรบของกองทัพตะวันตก

ผู้ดำเนินการภัยคุกคามที่มีฐานอยู่ในจีนยังคงกำหนดเป้าหมายหน่วยงานที่เกี่ยวข้องกับผลประโยชน์ทางเศรษฐกิจและการทหารของจีนในและรอบๆ ทะเลจีนใต้ ผู้ดำเนินการเหล่านี้บ่อนทำลายรัฐบาลและเหยื่อด้านโทรคมนาคมในสมาคมประชาชาติแห่งเอเชียตะวันออกเฉียงใต้ (ASEAN) อย่างเห็นแก่ตัว ดูเหมือนว่าผู้ดำเนินการทางไซเบอร์ในเครือรัฐของจีนดูเหมือนจะสนใจเป้าหมายที่เกี่ยวข้องกับการฝึกซ้อมทางทหารของสหรัฐอเมริกาจำนวนมากที่ดำเนินการในภูมิภาคเป็นพิเศษ ในเดือนมิถุนายน 2023 Raspberry Typhoon ซึ่งเป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งตั้งอยู่นอกประเทศจีน ประสบความสำเร็จในการกำหนดเป้าหมายหน่วยงานทางทหารและผู้บริหารในอินโดนีเซียและระบบการเดินเรือของมาเลเซียในช่วงหลายสัปดาห์ก่อนการซ้อมรบทางเรือพหุภาคีซึ่งจัดขึ้นไม่บ่อยนักซึ่งเกี่ยวข้องกับอินโดนีเซีย จีน และสหรัฐอเมริกา

ในทำนองเดียวกัน หน่วยงานที่เกี่ยวข้องกับการซ้อมรบระหว่างสหรัฐอเมริกาและฟิลิปปินส์ตกเป็นเป้าหมายของผู้ดำเนินการทางไซเบอร์ชาวจีนอีกรายหนึ่ง นั่นคือ Flax Typhoon ในขณะเดียวกัน Granite Typhoon ซึ่งเป็นอีกหนึ่งผู้ดำเนินการภัยคุกคามที่มีฐานอยู่ในจีนได้โจมตีหน่วยงานโทรคมนาคมในภูมิภาคเป็นหลักในช่วงเวลานี้ โดยมีเหยื่อในอินโดนีเซีย มาเลเซีย ฟิลิปปินส์ กัมพูชา และไต้หวัน

นับตั้งแต่มีการเผยแพร่บล็อกของ Microsoft เกี่ยวกับ Flax Typhoon Microsoft ก็ได้สังเกตเห็นเป้าหมาย Flax Typhoon ใหม่ในฟิลิปปินส์ ฮ่องกง อินเดีย และสหรัฐอเมริกาในช่วงต้นฤดูใบไม้ร่วงและฤดูหนาวปี 2023² ผู้ดำเนินการรายนี้ยังโจมตีภาคโทรคมนาคมบ่อยครั้งซึ่งมักจะนำไปสู่ผลกระทบดาวน์สตรีมจำนวนมาก

แผนที่แสดงข้อมูล Microsoft Threat Intelligence เกี่ยวกับภูมิภาคที่ตกเป็นเป้าหมายมากที่สุดในเอเชีย

รูปภาพที่ 2: เหตุการณ์ที่สังเกตพบที่กำหนดเป้าหมายไปยังประเทศในหรือรอบๆ ทะเลจีนใต้ โดย Flax Typhoon, Granite Typhoon หรือ Raspberry Typhoon ตำแหน่งที่ตั้งทางภูมิศาสตร์และเส้นผ่านศูนย์กลางทางสัญลักษณ์วิทยาเป็นการแสดงแทน

Nylon Typhoon ละเมิดหน่วยงานการต่างประเทศทั่วโลก

ผู้ดำเนินการภัยคุกคามในจีน Nylon Typhoon ยังคงดำเนินการอย่างต่อเนื่องในการกำหนดเป้าหมายหน่วยงานการต่างประเทศในประเทศต่างๆ ทั่วโลก ระหว่างเดือนมิถุนายนถึงธันวาคมปี 2023 Microsoft ตรวจพบ Nylon Typhoon ที่หน่วยงานรัฐบาลในอเมริกาใต้ รวมถึงในบราซิล กัวเตมาลา คอสตาริกา และเปรู ผู้ดำเนินการภัยคุกคามยังถูกพบเห็นในยุโรป โดยส่งผลกระทบต่อหน่วยงานรัฐบาลในโปรตุเกส ฝรั่งเศส สเปน อิตาลี และสหราชอาณาจักร แม้ว่าเป้าหมายในยุโรปส่วนใหญ่เป็นหน่วยงานภาครัฐ แต่บริษัทไอทีบางแห่งก็ถูกโจมตีเช่นกัน วัตถุประสงค์ของการกำหนดเป้าหมายนี้คือการรวบรวมข่าวกรอง

กลุ่มภัยคุกคามของจีนมุ่งเป้าไปที่หน่วยงานทางทหารและโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกา

สุดท้าย Storm-0062 มีกิจกรรมเพิ่มขึ้นอย่างรวดเร็วในช่วงฤดูใบไม้ร่วงและฤดูหนาวปี 2023 กิจกรรมส่วนใหญ่ส่งผลกระทบต่อหน่วยงานรัฐบาลที่เกี่ยวข้องกับกลาโหมของสหรัฐอเมริกา รวมถึงผู้รับเหมาที่ให้บริการด้านวิศวกรรมทางเทคนิคเกี่ยวกับการบินและอวกาศ การป้องกัน และทรัพยากรธรรมชาติที่มีความสำคัญต่อความมั่นคงของชาติอเมริกา นอกจากนี้ Storm-0062 ยังกำหนดเป้าหมายหน่วยงานทหารใน สหรัฐอเมริกาซ้ำแล้วซ้ำอีก อย่างไรก็ตาม ยังไม่ชัดเจนว่ากลุ่มนี้ประสบความสำเร็จในการพยายามบุกรุกหรือไม่

ฐานอุตสาหกรรมด้านกลาโหมของสหรัฐฯ ยังคงเป็นเป้าหมายของ Volt Typhoon อย่างต่อเนื่อง ในเดือนพฤษภาคม 2023 Microsoft ถือว่าการโจมตีองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกาเกิดจาก Volt Typhoon ซึ่งเป็นผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐซึ่งตั้งอยู่ในจีน Volt Typhoon เข้าถึงเครือข่ายขององค์กรต่างๆ ด้วยเทคนิค Living-off-the-land และกิจกรรม Hands-on-keyboard³ กลยุทธ์เหล่านี้ช่วยให้ Volt Typhoon สามารถรักษาการเข้าถึงเครือข่ายเป้าหมายโดยไม่ได้รับอนุญาตได้ ตั้งแต่เดือนมิถุนายน 2023 ถึงธันวาคม 2023 Volt Typhoon ยังคงกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญ แต่ยังติดตามการพัฒนาทรัพยากรด้วยการละเมิดอุปกรณ์สำนักงานขนาดเล็กและโฮมออฟฟิศ (SOHO) ทั่วสหรัฐอเมริกา

ในรายงานฉบับเดือนกันยายน 2023 เราได้ให้รายละเอียดว่าแอสเซทการดำเนินการแทรกแซงด้านข้อมูลข่าวสาร (IO) ของจีนเริ่มใช้ AI เพื่อสร้างเนื้อหาภาพที่ทันสมัยและน่าสนใจได้อย่างไร ตลอดฤดูร้อน Microsoft Threat Intelligence ยังคงระบุมีมที่สร้างโดย AI โดยกำหนดเป้าหมายไปที่สหรัฐอเมริกา ซึ่งขยายประเด็นความขัดแย้งภายในประเทศและวิพากษ์วิจารณ์ฝ่ายบริหารในปัจจุบัน ผู้ดำเนินการ IO ที่เกี่ยวข้องกับจีนยังคงใช้สื่อที่เพิ่มประสิทธิภาพด้วย AI และสร้างโดย AI (นับจากนี้จะเรียกว่า “เนื้อหา AI”) ในแคมเปญการแทรกแซงด้านข้อมูลข่าวสาร ซึ่งมีจำนวนและความถี่เพิ่มขึ้นตลอดทั้งปี

AI เพิ่มมากขึ้น (แต่กลับควบคุมไม่ได้)

ผู้ดำเนินการที่ใช้เนื้อหา AI ที่มีประสิทธิภาพมากที่สุดคือ Storm-1376 ซึ่งเป็นชื่อของ Microsoft สำหรับผู้ดำเนินการที่เกี่ยวข้องกับพรรคคอมมิวนิสต์จีน (CCP) ที่รู้จักกันทั่วไปในชื่อ “Spamouflage” หรือ “Dragonbridge” ในช่วงฤดูหนาว ผู้ดำเนินการที่เกี่ยวข้องกับ CCP รายอื่นเริ่มใช้เนื้อหา AI ที่หลากหลายเพื่อเพิ่ม IO ออนไลน์ ซึ่งรวมถึงเนื้อหาที่เพิ่มขึ้นอย่างเห็นได้ชัดซึ่งมีบุคคลสำคัญทางการเมืองของไต้หวันก่อนการเลือกตั้งประธานาธิบดีและสภานิติบัญญัติในวันที่ 13 มกราคม นี่เป็นครั้งแรกที่ Microsoft Threat Intelligence ได้เห็นผู้โจมตีที่กำกับโดยรัฐใช้เนื้อหา AI เพื่อพยายามแทรกแซงด้านข้อมูลข่าวสารต่อการเลือกตั้งในต่างประเทศ

เสียงที่สร้างโดย AI: ในวันเลือกตั้งของไต้หวัน Storm-1376 โพสต์คลิปเสียงที่สร้างโดย AI ที่น่าสงสัยของ Terry Gou เจ้าของ Foxconn ซึ่งเป็นผู้สมัครพรรคอิสระในการแข่งขันชิงตำแหน่งประธานาธิบดีของไต้หวัน ซึ่งยอมถอนตัวจากการแข่งขันในเดือนพฤศจิกายน 2023 การบันทึกเสียงมีเสียงของ Gou ที่สนับสนุนผู้สมัครชิงตำแหน่งประธานาธิบดีอีกคน เสียงของ Gou ในการบันทึกน่าจะสร้างโดย AI เนื่องจาก Gou ไม่เคยกล่าวเช่นนั้น YouTube ดำเนินการกับเนื้อหานี้อย่างรวดเร็วก่อนที่จะเผยแพร่สู่ผู้ใช้จำนวนมาก วิดีโอเหล่านี้เกิดขึ้นหลังจากจดหมายปลอมจาก Terry Gou ที่รับรองผู้สมัครคนเดียวกันเผยแพร่ทางออนไลน์หลายวัน องค์กรตรวจสอบข้อเท็จจริงชั้นนำของไต้หวันหักล้างจดหมายดังกล่าว แคมเปญของ Gou ยังระบุด้วยว่าจดหมายดังกล่าวไม่มีอยู่จริง และจะดำเนินการทางกฎหมายเพื่อตอบโต้⁴ Gou ไม่ได้รับรองผู้สมัครชิงตำแหน่งประธานาธิบดีคนใดในการแข่งขันอย่างเป็นทางการ

ผู้ชายสวมชุดสูทกำลังพูดบนแท่นโดยมีข้อความภาษาจีนและมีกราฟิกรูปแบบคลื่นเสียงอยู่เบื้องหน้า

รูปภาพที่ 3: วิดีโอที่เผยแพร่โดย Storm-1376 ใช้การบันทึกเสียงของ Terry Gou ที่สร้างโดย AI เพื่อทำให้เขาดูเหมือนสนับสนุนผู้สมัครรายอื่น

ผู้ประกาศข่าวที่สร้างโดย AI: ผู้ประกาศข่าวที่สร้างโดย AI ที่สร้างโดยบริษัทเทคโนโลยีบุคคลที่สาม โดยใช้เครื่องมือ Capcut ของบริษัทเทคโนโลยีจีน ByteDance ปรากฏในแคมเปญต่างๆ ที่มีเจ้าหน้าที่ชาวไต้หวัน⁵ รวมถึงการส่งข้อความในเมียนมา Storm-1376 ได้ใช้ผู้ประกาศข่าวที่สร้างโดย AI อย่างน้อยตั้งแต่เดือนกุมภาพันธ์ 2023⁶ แต่ปริมาณเนื้อหาที่มีผู้ประกาศข่าวเหล่านี้เพิ่มขึ้นในช่วงไม่กี่เดือนที่ผ่านมา

รูปภาพที่ 4: Storm-1376 โพสต์วิดีโอเป็นภาษาจีนกลางและอังกฤษ โดยกล่าวหาว่าสหรัฐอเมริกาและอินเดียเป็นผู้รับผิดชอบต่อเหตุการณ์ความไม่สงบในเมียนมา มีการใช้จุดยึดที่สร้างโดย AI แบบเดียวกันในวิดีโอเหล่านี้บางรายการ

วิดีโอที่เพิ่มประสิทธิภาพด้วย AI: ตามที่เปิดเผยโดยรัฐบาลแคนาดาและนักวิจัยคนอื่นๆ วิดีโอที่เพิ่มประสิทธิภาพด้วย AI ใช้ความคล้ายคลึงของผู้คัดค้านชาวจีนในแคนาดาในแคมเปญที่กำหนดเป้าหมายไปที่สมาชิกสภาผู้แทนราษฎรของแคนาดา⁷ วิดีโอเหล่านี้ ซึ่งเป็นเพียงส่วนหนึ่งของแคมเปญหลายแพลตฟอร์มที่รวมถึงการคุกคามนักการเมืองแคนาดาในบัญชีโซเชียลมีเดียของพวกเขา แสดงให้เห็นภาพที่ไม่ถูกต้องของผู้ไม่เห็นด้วยที่พูดจายั่วโทสะเกี่ยวกับรัฐบาลแคนาดา วิดีโอที่เพิ่มประสิทธิภาพด้วย AI ที่คล้ายกันนี้เคยถูกนำมาใช้เพื่อต่อต้านผู้เห็นต่างรายนี้มาก่อน

รูปภาพที่ 5: วิดีโอปลอมที่ใช้ AI ของผู้คัดค้านพูดถึงศาสนาในทางทำให้เสื่อมเสีย แม้ว่าจะใช้กลยุทธ์ที่คล้ายคลึงกันกับแคมเปญของแคนาดา แต่วิดีโอเหล่านี้กลับปรากฏว่าไม่เกี่ยวข้องกันในแง่ของเนื้อหา

มีมที่สร้างโดย AI: Storm-1376 โปรโมตซีรีส์มีมที่สร้างโดย AI ของ William Lai ผู้สมัครชิงตำแหน่งประธานาธิบดีพรรคประชาธิปไตยก้าวหน้า (DPP) ของไต้หวันในเดือนธันวาคม โดยมีธีมการนับถอยหลังที่มีข้อความว่า “X วัน” เพื่อโค่น DPP ออกจากขั้วอำนาจ

การแสดงกราฟิกด้วยรูปภาพสองรูปเคียงข้างกัน รูปหนึ่งเป็นรูปที่มี x สีแดง และรูปเดียวกันอีกรูปหนึ่งที่ไม่มีเครื่องหมาย

รูปภาพที่ 6: มีมที่สร้างโดย AI กล่าวหาว่าผู้สมัครชิงตำแหน่งประธานาธิบดี DPP William Lai ยักยอกเงินจากโครงการพัฒนาโครงสร้างพื้นฐานเพื่ออนาคตของไต้หวัน มีมเหล่านี้มีอักขระที่เรียบง่าย (ซึ่งใช้ใน PRC แต่ไม่ใช่ในไต้หวัน) และเป็นส่วนหนึ่งของซีรีส์ที่แสดง “การนับถอยหลังเพื่อโค่น DPP ออกจากอำนาจ” ประจำวัน

อินโฟกราฟิกไทม์ไลน์แสดงอิทธิพลของเนื้อหาที่สร้างโดย AI ต่อการเลือกตั้งไต้หวันตั้งแต่เดือนธันวาคม 2023 ถึงมกราคม 2024

รูปภาพที่ 7: ไทม์ไลน์ของเนื้อหาที่สร้างโดย AI และเพิ่มประสิทธิภาพด้วย AI ซึ่งปรากฏในการเลือกตั้งประธานาธิบดีและรัฐสภาของไต้หวันในเดือนมกราคม 2024 Storm-1376 เพิ่มเนื้อหาเหล่านี้หลายส่วนและรับผิดชอบในการสร้างเนื้อหาในสองแคมเปญ

Storm-1376 ยังคงส่งข้อความโต้ตอบต่อไป บางครั้งก็มีการเล่าเรื่องสมคบคิด

Storm-1376 ซึ่งเป็นผู้ดำเนินการที่ทำการแทรกแซงด้านข้อมูลข่าวสารมากกว่า 175 เว็บไซต์และ 58 ภาษายังคงเพิ่มแคมเปญการรับส่งข้อความโต้ตอบอย่างต่อเนื่องเกี่ยวกับเหตุการณ์ทางภูมิรัฐศาสตร์ที่สำคัญ โดยเฉพาะอย่างยิ่งเหตุการณ์ที่แสดงให้เห็นสหรัฐอเมริกาในแง่ลบหรือส่งเสริมความสนใจของ CCP ในภูมิภาค APAC นับตั้งแต่รายงานล่าสุดของเราในเดือนกันยายน 2023 แคมเปญเหล่านี้มีการพัฒนาในรูปแบบที่สำคัญหลายประการ รวมถึงการผสานรวมรูปถ่ายที่สร้างโดย AI เพื่อทำให้ผู้ชมเข้าใจผิด กระตุ้นเนื้อหาสมคบคิด โดยเฉพาะอย่างยิ่งต่อต้านรัฐบาลสหรัฐอเมริกา และกำหนดเป้าหมายประชากรใหม่ เช่น เกาหลีใต้ ด้วยเนื้อหาที่แปลเป็นภาษาท้องถิ่น

1. อ้างว่ารัฐบาลสหรัฐอเมริกาใช้ “อาวุธเปลี่ยนสภาพอากาศ” ทำให้เกิดไฟป่าที่ฮาวาย

ในเดือนสิงหาคม 2023 ขณะที่ไฟป่าโหมกระหน่ำบนชายฝั่งตะวันตกเฉียงเหนือของเกาะเมาวี รัฐฮาวาย Storm-1376 ได้ฉวยโอกาสที่จะเผยแพร่เรื่องราวสมคบคิดบนแพลตฟอร์มโซเชียลมีเดียหลายแห่ง โพสต์เหล่านี้กล่าวหาว่ารัฐบาลสหรัฐอเมริกาจงใจจุดไฟเพื่อทดสอบ “อาวุธเปลี่ยนสภาพอากาศ” ระดับการทหาร นอกเหนือจากการโพสต์ข้อความในภาษาต่างๆ อย่างน้อย 31 ภาษาบน เว็บไซต์และแพลตฟอร์มต่างๆ มากมาย Storm-1376 ยังใช้รูปภาพที่สร้างโดย AI ของถนนเลียบชายฝั่งและที่อยู่อาศัยที่กำลังลุกไหม้เพื่อทำให้เนื้อหาสะดุดตายิ่งขึ้น⁸

ภาพคอมโพสิตที่มีตราประทับ "ปลอม" เหนือฉากเพลิงไหม้ครั้งใหญ่

รูปภาพที่ 8: Storm-1376 โพสต์เนื้อหาสมคบคิดภายในไม่กี่วันหลังเกิดไฟป่า โดยอ้างว่าไฟดังกล่าวเป็นผลมาจากการทดสอบ “อาวุธปรับสภาพอากาศ” ของรัฐบาลสหรัฐอเมริกา โพสต์เหล่านี้มักจะมาพร้อมกับรูปถ่ายเพลิงไหม้ครั้งใหญ่ที่สร้างโดย AI

2. สร้างความไม่พอใจต่อการกำจัดน้ำเสียนิวเคลียร์ของญี่ปุ่น

Storm-1376 เปิดตัวแคมเปญส่งข้อความเชิงรุกขนาดใหญ่วิพากษ์วิจารณ์รัฐบาลญี่ปุ่นหลังจากที่ญี่ปุ่นเริ่มปล่อยน้ำเสียกัมมันตภาพรังสีที่ผ่านการบำบัดแล้วออกสู่มหาสมุทรแปซิฟิกเมื่อวันที่ 24 สิงหาคม 2023⁹ เนื้อหาของ Storm-1376 ทำให้เกิดข้อสงสัยต่อการประเมินทางวิทยาศาสตร์ของทบวงการพลังงานปรมาณูระหว่างประเทศ (IAEA) ว่าการกำจัดน้ำเสียมีความปลอดภัย Storm-1376 ส่งข้อความแบบสุ่มบนแพลตฟอร์มโซเชียลมีเดียในหลายภาษา รวมถึงภาษาญี่ปุ่น เกาหลี และอังกฤษ เนื้อหาบางส่วนยังกล่าวหาว่าสหรัฐอเมริกาจงใจวางยาพิษประเทศอื่นๆ เพื่อรักษา “การครองอำนาจแหล่งน้ำ” เนื้อหาที่ใช้ในแคมเปญนี้มีจุดเด่นของการสร้างด้วย AI

ในบางกรณี Storm-1376 นำเนื้อหาที่ใช้โดยผู้ดำเนินการรายอื่นในระบบนิเวศการโฆษณาชวนเชื่อในจีนกลับมาใช้ใหม่ รวมถึง ผู้ทรงอิทธิพลทางโซเชียลมีเดียในเครือสื่อของรัฐจีน¹⁰ ผู้ทรงอิทธิพลและแอสเซทของ Storm-1376 อัปโหลดวิดีโอที่เหมือนกันสามรายการซึ่งวิพากษ์วิจารณ์การปล่อยน้ำเสียของฟุกุชิมะ กรณีของการโพสต์ดังกล่าวจากผู้ดำเนินการหลายคนที่ใช้เนื้อหาเหมือนกันในขั้นตอนที่ดูเหมือนกัน ซึ่งอาจบ่งบอกถึงการประสานงานหรือทิศทางในการส่งข้อความ ได้เพิ่มขึ้นตลอดปี 2023

ภาพคอมโพสิตที่มีภาพประกอบเสียดสีผู้คน สกรีนช็อตของวิดีโอที่แสดงก็อตซิลล่า และโพสต์บนโซเชียลมีเดีย

รูปภาพที่ 9: มีมและรูปภาพที่สร้างโดย AI ซึ่งวิพากษ์วิจารณ์การกำจัดน้ำเสียฟุกุชิมะจากแอสเซท IO ของจีนที่แฝงตัวอยู่ (ซ้าย) และเจ้าหน้าที่รัฐบาลจีน (ตรงกลาง) ผู้ทรงอิทธิพลที่เกี่ยวข้องกับสื่อของรัฐจีนยังได้เพิ่มการส่งข้อความที่สอดคล้องกับรัฐบาลซึ่งวิพากษ์วิจารณ์การกำจัดน้ำเสีย (ขวา)

3. กระตุ้นความขัดแย้งในเกาหลีใต้

ในเรื่องการทิ้งน้ำเสียในฟุกุชิมะ Storm-1376 ได้ใช้ความพยายามร่วมกันเพื่อกำหนดเป้าหมายไปยังเกาหลีใต้ด้วยเนื้อหาที่แปลเป็นภาษาท้องถิ่นเพื่อขยายการประท้วงที่เกิดขึ้นในประเทศเพื่อต่อต้านการกำจัดน้ำเสีย ตลอดจนเนื้อหาที่วิพากษ์วิจารณ์รัฐบาลญี่ปุ่น แคมเปญนี้มีโพสต์เป็นภาษาเกาหลีหลายร้อยรายการบนแพลตฟอร์มและเว็บไซต์ต่างๆ รวมถึงไซต์โซเชียลมีเดียของเกาหลีใต้ เช่น Kakao Story, Tistory และ Velog.io¹¹

ในฐานะส่วนหนึ่งของแคมเปญที่กำหนดเป้าหมายนี้ Storm-1376 ได้ขยายความคิดเห็นและการดำเนินการจากผู้นำ Minjoo และผู้สมัครชิงตำแหน่งประธานาธิบดีในปี 2022 อย่าง Lee Jaemyung (이기명, 李在明) ที่ไม่ประสบความสำเร็จ Lee วิจารณ์ความเคลื่อนไหวของญี่ปุ่นว่าเป็น “ความสยองขวัญจากน้ำปนเปื้อน” และเทียบเท่ากับ “สงครามแปซิฟิกครั้งที่สอง” นอกจากนี้ เขายังกล่าวหารัฐบาลชุดปัจจุบันของเกาหลีใต้ ว่าเป็น “ผู้สมรู้ร่วมคิดด้วยการสนับสนุน” การตัดสินใจของญี่ปุ่น และริเริ่มการอดอาหารเพื่อประท้วงซึ่งกินเวลานาน 24 วัน¹²

การ์ตูนสี่ช่องพูดถึงมลภาวะต่อสิ่งแวดล้อมและผลกระทบต่อสิ่งมีชีวิตในทะเล

รูปภาพที่ 10: มีมภาษาเกาหลีจากแพลตฟอร์มบล็อกของเกาหลีใต้ Tistory ขยายความไม่ลงรอยกันเกี่ยวกับการกำจัดน้ำเสียที่ฟุกุชิมะ

4. รถไฟตกรางในรัฐเคนทักกี

ในช่วงวันหยุดวันขอบคุณพระเจ้าในเดือนพฤศจิกายน 2023 รถไฟที่บรรทุกกำมะถันเหลวได้ตกรางในร็อคคาสเซิลเคาน์ตี รัฐเคนทักกี ประมาณหนึ่งสัปดาห์หลังจากการตกราง Storm-1376 ได้เปิดตัวแคมเปญโซเชียลมีเดียที่ขยายเรื่องการตกราง เผยแพร่ทฤษฎีสมคบคิดต่อต้านรัฐบาลสหรัฐอเมริกา และเน้นย้ำถึงความแตกแยกทางการเมืองในหมู่ผู้ลงคะแนนเสียงในสหรัฐอเมริกา ซึ่งท้ายที่สุดก็กระตุ้นให้เกิดความไม่ไว้วางใจและไม่แยแสกับรัฐบาลสหรัฐอเมริกาในท้ายที่สุด Storm-1376 กระตุ้นให้ผู้ชมคิดว่ารัฐบาลสหรัฐอเมริกาอาจเป็นสาเหตุให้เกิดการตกรางหรือไม่ และกำลัง “จงใจปกปิดบางอย่าง”¹³ ข้อความบางข้อความยังเปรียบเทียบการตกรางกับทฤษฎีการปกปิดเหตุการณ์ 9/11 และเพิร์ลฮาร์เบอร์ด้วยซ้ำ¹⁴

หุ่นเชิด IO จีนแสวงหามุมมองเกี่ยวกับหัวข้อทางการเมืองของสหรัฐอเมริกา

ในรายงานฉบับเดือนกันยายน 2023 เราได้เน้นย้ำว่าบัญชีโซเชียลมีเดียในเครือ CCP เริ่มแอบอ้างเป็นผู้มีสิทธิเลือกตั้งในสหรัฐอเมริกา โดยสวมรอยเป็นคนอเมริกันในด้านความคิดทางการเมืองและตอบสนองต่อความคิดเห็นจากผู้ใช้จริงได้อย่างไร¹⁵ ความพยายามในการแทรกแซงด้านข้อมูลข่าวสารเหล่านี้ต่อการเลือกตั้งกลางสมัยของสหรัฐอเมริกาในปี 2022 ถือเป็นครั้งแรกใน IO ของจีนที่ถูกสังเกตการณ์

Microsoft Threat Analysis Center (MTAC) พบว่าบัญชีหุ่นเชิดเพิ่มเติมมีการเพิ่มขึ้นเล็กน้อยแต่สม่ำเสมอซึ่งเราประเมินด้วยความมั่นใจปานกลางนั้นดำเนินการโดย CCP บน X (เดิมคือ Twitter) บัญชีเหล่านี้ถูกสร้างขึ้นในช่วงต้นปี 2012 หรือ 2013 แต่เพิ่งเริ่มโพสต์ภายใต้บุคลิกปัจจุบันในต้นปี 2023 ซึ่งบ่งบอกว่าบัญชีเหล่านี้เพิ่งได้มาหรือถูกนำมาใช้ใหม่ หุ่นเชิดเหล่านี้โพสต์ทั้งวิดีโอ มีม และอินโฟกราฟิกที่สร้างขึ้นมาเอง รวมถึงเนื้อหาที่รีไซเคิลจากบัญชีทางการเมืองที่สำคัญอื่นๆ บัญชีเหล่านี้เกือบจะโพสต์เกี่ยวกับปัญหาภายในประเทศของสหรัฐอเมริกาโดยเฉพาะ ตั้งแต่การใช้ยาของอเมริกา นโยบายการย้ายถิ่นฐาน และความตึงเครียดจากการเหยียดเชื้อชาติ แต่จะแสดงความคิดเห็นเป็นครั้งคราวในหัวข้อที่เป็นที่สนใจของจีน เช่น การทิ้งน้ำเสียที่ฟุกุชิมะ หรือผู้คัดค้านชาวจีน

ภาพหน้าจอของคอมพิวเตอร์ที่มีข้อความว่าสงครามและความขัดแย้ง ปัญหายาเสพติด ความสัมพันธ์ทางเชื้อชาติ ฯลฯ

รูปภาพที่ 11: ตลอดช่วงฤดูร้อนและฤดูใบไม้ร่วง ตุ๊กตาหุ่นเชิดและตัวละครของจีนมักใช้ภาพที่น่าดึงดูดในโพสต์ของพวกเขาเมื่อพูดคุยเกี่ยวกับประเด็นทางการเมืองและเหตุการณ์ปัจจุบันของสหรัฐฯ ซึ่งบางครั้งได้รับการปรับปรุงผ่าน AI สร้างสรรค์

นอกจากอินโฟกราฟิกหรือวิดีโอที่กระตุ้นอารมณ์ทางการเมือง บัญชีเหล่านี้ยังมักจะถามผู้ติดตามว่าพวกเขาเห็นด้วยกับหัวข้อที่ระบุหรือไม่ บัญชีเหล่านี้บางส่วนได้โพสต์เกี่ยวกับผู้สมัครชิงตำแหน่งประธานาธิบดีหลายคน แล้วขอให้ผู้ติดตามแสดงความคิดเห็นว่าพวกเขาสนับสนุนผู้สมัครหรือไม่ กลยุทธ์นี้อาจทำเพื่อวัตถุประสงค์ในการเพิ่มยอดการมีส่วนร่วม หรืออาจค้นหาข้อมูลเชิงลึกเกี่ยวกับมุมมองของชาวอเมริกันต่อการเมืองของสหรัฐอเมริกา บัญชีดังกล่าว อีกมากมายอาจดำเนินการเพื่อเพิ่มข่าวกรองที่รวบรวมเกี่ยวกับประชากรผู้ลงคะแนนที่สำคัญภายในสหรัฐอเมริกา

การเปรียบเทียบภาพแบบแยกหน้าจอ: ด้านซ้ายเป็นเครื่องบินเจ็ตทหารที่กำลังบินขึ้นจากเรือบรรทุกเครื่องบิน และด้านขวามีกลุ่มคนนั่งอยู่หลังแผงกั้น

รูปภาพที่ 12: หุ่นเชิดของจีนขอความคิดเห็นเกี่ยวกับหัวข้อทางการเมืองจากผู้ใช้รายอื่นใน X

ผู้ดำเนินการภัยคุกคามทางไซเบอร์ในเกาหลีเหนือขโมยเงินดิจิทัลหลายร้อยล้านดอลลาร์ ทำการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ และกำหนดเป้าหมายปรปักษ์ด้านความมั่นคงของชาติที่พวกเขามองว่าเป็นศัตรูในปี 2023 การดำเนินงานของพวกเขาสร้างรายได้ให้กับรัฐบาลเกาหลีเหนือ โดยเฉพาะโครงการอาวุธ และรวบรวมข้อมูลข่าวกรองเกี่ยวกับสหรัฐอเมริกา เกาหลีใต้ และญี่ปุ่น¹⁶

อินโฟกราฟิกแสดงภาคส่วนและประเทศที่ตกเป็นเป้าหมายมากที่สุดสำหรับภัยคุกคามทางไซเบอร์

รูปภาพที่ 13: ภาคส่วนและประเทศที่ตกเป็นเป้าหมายของเกาหลีเหนือมากที่สุดตั้งแต่เดือนมิถุนายน 2023 ถึงมกราคม 2024 โดยอิงตามข้อมูลการแจ้งเตือนระดับรัฐชาติของ Microsoft Threat Intelligence

ผู้ดำเนินการทางไซเบอร์ในเกาหลีเหนือขโมยสกุลเงินดิจิทัลจำนวนมากที่สร้างสถิติใหม่เพื่อสร้างรายได้ให้กับรัฐ

องค์การสหประชาชาติประมาณว่าผู้ดำเนินการทางไซเบอร์ในเกาหลีเหนือได้ขโมยสกุลเงินดิจิทัลมากกว่า USD$3 พันล้านตั้งแต่ปี 2017¹⁷ การโจรกรรมมูลค่ารวมระหว่าง USD$600 ล้านถึง USD$1 พันล้านนั้นเกิดขึ้นในปี 2023 เพียงปีเดียว มีรายงานว่ามีการใช้เงินทุนที่ถูกขโมยเหล่านี้กับโครงการนิวเคลียร์และขีปนาวุธของประเทศมากกว่าครึ่งหนึ่ง ส่งผลให้มีการแพร่ขยายและทดสอบอาวุธของเกาหลีเหนือแม้จะมีการคว่ำบาตรก็ตาม¹⁸ เกาหลีเหนือทำการทดสอบขีปนาวุธและการฝึกซ้อมทางทหารหลายครั้งในปีที่ผ่านมา และยังประสบความสำเร็จในการปล่อยดาวเทียมสอดแนมทางทหารขึ้นสู่อวกาศเมื่อวันที่ 21 พฤศจิกายน 2023¹⁹

ผู้ดำเนินการภัยคุกคามสามรายที่ Microsoft ติดตาม ได้แก่ Jade Sleet, Sapphire Sleet และ Citrine Sleet มุ่งเน้นไปที่เป้าหมายของสกุลเงินดิจิทัลมากที่สุดนับตั้งแต่เดือนมิถุนายน 2023 Jade Sleet ดำเนินการปล้นสกุลเงินดิจิทัลครั้งใหญ่ ในขณะที่ Sapphire Sleet ดำเนินการขโมยสกุลเงินดิจิทัลจำนวนเล็กน้อยแต่บ่อยกว่า Microsoft อ้างว่าการขโมยเงินอย่างน้อย USD$35 ล้านจากบริษัทสกุลเงินดิจิทัลในเอสโตเนียเมื่อต้นเดือนมิถุนายน 2023 ดำเนินการโดย Jade Sleet Microsoft ยังอ้างว่าการโจรกรรมกว่า USD$125 ล้านจากแพลตฟอร์มสกุลเงินดิจิทัลในสิงคโปร์นั้นดำเนินการโดย Jade Sleet ในอีกหนึ่งเดือนต่อมา Jade Sleet เริ่มบุกรุกบ่อนคาสิโนสกุลเงินดิจิทัลออนไลน์ในเดือนสิงหาคม 2023

Sapphire Sleet โจมตีพนักงานจำนวนมากอย่างต่อเนื่อง รวมถึงผู้บริหารและนักพัฒนาที่องค์กรสกุลเงินดิจิทัล การร่วมลงทุน และองค์กรทางการเงินอื่นๆ Sapphire Sleet ยังพัฒนาเทคนิคใหม่ เช่น การส่งคำเชิญเข้าร่วมการประชุมเสมือนปลอมที่มีลิงก์ไปยังโดเมนของผู้โจมตี และการลงทะเบียนเว็บไซต์รับสมัครงานปลอม Citrine Sleet ติดตามการโจมตีห่วงโซ่อุปทาน 3CX ในเดือนมีนาคม 2023 โดยบุกรุกบริษัทสกุลเงินดิจิทัลและสินทรัพย์ดิจิทัลซึ่งตั้งอยู่ในตุรกี เหยื่อได้โฮสต์แอปพลิเคชัน 3CX เวอร์ชันที่มีช่องโหว่ซึ่งเชื่อมโยงกับการละเมิดห่วงโซ่อุปทาน

ผู้ดำเนินการทางไซเบอร์ชาวเกาหลีเหนือคุกคามภาคไอทีด้วยสเปียร์ฟิชชิ่งและการโจมตีห่วงโซ่อุปทานซอฟต์แวร์

ผู้ดำเนินการภัยคุกคามชาวเกาหลีเหนือยังได้ทำการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ในบริษัทไอที ซึ่งส่งผลให้สามารถเข้าถึงลูกค้าดาวน์สตรีมได้ Jade Sleet ใช้ที่เก็บ GitHub และแพคเกจ npm เป็นอาวุธในแคมเปญสเปียร์ฟิชชิ่งวิศวกรรมทางสังคมที่กำหนดเป้าหมายพนักงานขององค์กรสกุลเงินดิจิทัลและเทคโนโลยี²⁰ ผู้โจมตีแอบอ้างเป็นนักพัฒนาหรือผู้สรรหาบุคลากร เชิญเป้าหมายให้ทำงานร่วมกันในที่เก็บ GitHub และโน้มน้าวให้พวกเขาลอกแบบและดำเนินการเนื้อหาซึ่งมีแพคเกจ NPM ที่เป็นอันตราย Diamond Sleet ดำเนินการบุกรุกห่วงโซ่อุปทานของบริษัทไอทีในเยอรมนีในเดือนสิงหาคม 2023 และใช้แอปพลิเคชันเป็นอาวุธจากบริษัทไอทีในไต้หวันเพื่อทำการโจมตีห่วงโซ่อุปทานในเดือนพฤศจิกายน 2023 ทั้ง Diamond Sleet และ Onyx Sleet ใช้ประโยชน์จากช่องโหว่ TeamCity CVE-2023-42793 ในเดือนตุลาคม 2023 ซึ่งช่วยให้ผู้โจมตีสามารถโจมตีแบบเรียกใช้โค้ดจากระยะไกลและเข้าควบคุมดูแลระบบของเซิร์ฟเวอร์ Diamond Sleet ใช้เทคนิคนี้เพื่อบุกรุกเหยื่อหลายร้อยรายในอุตสาหกรรมต่างๆ ในสหรัฐอเมริกาและประเทศในยุโรป รวมถึงสหราชอาณาจักร เดนมาร์ก ไอร์แลนด์ และเยอรมนี Onyx Sleet ใช้ประโยชน์จากช่องโหว่เดียวกันนั้นเพื่อบุกรุกเหยื่ออย่างน้อย 10 ราย รวมถึงผู้ให้บริการซอฟต์แวร์ในออสเตรเลียและหน่วยงานรัฐบาลในนอร์เวย์ และใช้เครื่องมือหลังการบุกรุกเพื่อดำเนินการส่วนข้อมูลเพิ่มเติม

ผู้ดำเนินการทางไซเบอร์ในเกาหลีเหนือพุ่งเป้าไปที่สหรัฐอเมริกา เกาหลีใต้ และกลุ่มพันธมิตร

ผู้ดำเนินการภัยคุกคามในเกาหลีเหนือยังคงมุ่งเป้าไปที่ปรปักษ์ด้านความมั่นคงของชาติที่พวกเขามองว่าเป็นศัตรู กิจกรรมทางไซเบอร์นี้เป็นตัวอย่างวัตถุประสงค์ทางภูมิศาสตร์การเมืองของเกาหลีเหนือในการตอบโต้พันธมิตรไตรภาคีระหว่างสหรัฐอเมริกา เกาหลีใต้ และญี่ปุ่น ผู้นำของทั้งสามประเทศกระชับความร่วมมือนี้ในระหว่างการประชุมสุดยอด Camp David ในเดือนสิงหาคม 2023²¹ Ruby Sleet และ Onyx Sleet ยังคงมีแนวโน้มในการกำหนดเป้าหมายไปที่องค์กรการบินและอวกาศและการป้องกันประเทศในสหรัฐอเมริกาและเกาหลีใต้ Emerald Sleet ยังคงสอดแนมและใช้แคมเปญสเปียร์ฟิชชิ่งโดยมุ่งเป้าหมายไปที่นักการทูตและผู้เชี่ยวชาญคาบสมุทรเกาหลีในหน่วยงานรัฐบาล คณะวิจัย/NGO สื่อ และการศึกษา Pearl Sleet ยังคงปฏิบัติการโดยมุ่งเป้าไปที่หน่วยงานของเกาหลีใต้ที่มีส่วนร่วมกับผู้แปรพักตร์และนักเคลื่อนไหวชาวเกาหลีเหนือที่เน้นประเด็นสิทธิมนุษยชนของเกาหลีเหนือในเดือนมิถุนายน 2023 Microsoft ประเมินว่าแรงจูงใจเบื้องหลังกิจกรรมเหล่านี้คือการรวบรวมข่าวกรอง

ผู้ดำเนินการในเกาหลีเหนือใช้แบ็คดอร์ในซอฟต์แวร์ถูกกฎหมาย

ผู้ดำเนินการภัยคุกคามในเกาหลีเหนือยังใช้แบ็คดอร์กับซอฟต์แวร์ถูกกฎหมาย เพื่อใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่มีอยู่ ในช่วงครึ่งปีแรกของปี 2023 Diamond Sleet มักจะใช้มัลแวร์ VNC เป็นอาวุธในการละเมิดเหยื่อ Diamond Sleet กลับมาใช้มัลแวร์ตัวอ่าน PDF เป็นอาวุธอีกครั้งในเดือนกรกฎาคม 2023 ซึ่งเป็นเทคนิคที่ Microsoft Threat Intelligence วิเคราะห์ในบล็อกโพสต์เดือนกันยายน 2022²² นอกจากนี้ Ruby Sleet ยังมีแนวโน้มที่จะใช้ตัวติดตั้งแบ็คดอร์ของโปรแกรมเอกสารอิเล็กทรอนิกส์ของเกาหลีใต้ในเดือนธันวาคม 2023

เกาหลีเหนือใช้เครื่องมือ AI เพื่อเริ่มกิจกรรมทางไซเบอร์ที่เป็นอันตราย

ผู้ดำเนินการภัยคุกคามในเกาหลีเหนือกำลังปรับตัวให้เข้ากับยุคของ AI พวกเขากำลังเรียนรู้ที่จะใช้เครื่องมือที่ขับเคลื่อนโดยโมเดลภาษาขนาดใหญ่ (LLM) ของ AI เพื่อทำให้การดำเนินการมีผลิตภาพและประสิทธิภาพมากขึ้น ตัวอย่างเช่น Microsoft และ OpenAI ตรวจพบว่า Emerald Sleet ใช้ LLM เพื่อเพิ่มประสิทธิภาพของแคมเปญสเปียร์ฟิชชิ่งที่พุ่งเป้าไปที่ผู้เชี่ยวชาญในคาบสมุทรเกาหลี²³ Emerald Sleet ใช้ LLM ในการวิจัยช่องโหว่และทำการสอดแนมองค์กรและผู้เชี่ยวชาญที่มุ่งเน้นประเด็นในเกาหลีเหนือ นอกจากนี้ Emerald Sleet ยังใช้ LLM ในการแก้ไขปัญหาด้านเทคนิค ดำเนินงานเขียนสคริปต์ขั้นพื้นฐาน หรือร่างเนื้อหาสำหรับข้อความสเปียร์ฟิชชิ่ง Microsoft ร่วมมือกับ OpenAI เพื่อปิดใช้งานบัญชีและแอสเซทที่เชื่อมโยงกับ Emerald Sleet

จีนจะเฉลิมฉลองครบรอบ 75 ปีของการสถาปนาสาธารณรัฐประชาชนจีนในเดือนตุลาคม และเกาหลีเหนือจะยังคงผลักดันโครงการอาวุธขั้นสูงที่สำคัญต่อไป ในขณะเดียวกัน ขณะที่ประชากรในอินเดีย เกาหลีใต้ และสหรัฐอเมริกากำลังดำเนินการเลือกตั้ง เรามีแนวโน้มที่จะเห็นผู้ดำเนินการทางไซเบอร์และผู้ดำเนินการแทรงแซงด้านข้อมูลข่าวสารของจีน และผู้ดำเนินการทางไซเบอร์ของเกาหลีเหนือบางส่วนมุ่งเป้าไปที่การเลือกตั้งเหล่านี้

อย่างน้อยที่สุด จีนจะสร้างและขยายเนื้อหาที่สร้างโดย AI ซึ่งเป็นประโยชน์ต่อตำแหน่งของตนในการเลือกตั้งที่สำคัญเหล่านี้ แม้ว่าผลกระทบของเนื้อหาดังกล่าวต่อผู้ชมที่ถูกโน้มน้าวใจยังคงต่ำ แต่การทดลองที่เพิ่มขึ้นของจีนในการเพิ่มมีม วิดีโอ และเสียงจะดำเนินต่อไป และอาจพิสูจน์ได้ว่ามีประสิทธิภาพในท้ายที่สุด แม้ว่าผู้ดำเนินการทางไซเบอร์ในจีนได้ทำการสอดแนมสถาบันทางการเมืองของสหรัฐอเมริกามานานแล้ว เราก็พร้อมที่จะเห็นผู้ดำเนินการแทรงแซงด้านข้อมูลข่าวสารมีปฏิสัมพันธ์กับชาวอเมริกันเพื่อการมีส่วนร่วมและเพื่อศึกษามุมมองเกี่ยวกับการเมืองของสหรัฐอเมริกา

สุดท้าย ขณะที่เกาหลีเหนือเริ่มดำเนินการตามนโยบายของรัฐบาลใหม่และดำเนินตามแผนการทดสอบอาวุธอันทะเยอทะยาน เราสามารถคาดการณ์ได้ว่าจะมีการปล้นสกุลเงินดิจิทัลที่ซับซ้อนมากขึ้น และการโจมตีในห่วงโซ่อุปทานจะมุ่งเป้าไปที่ภาคการป้องกันประเทศ โดยทำหน้าที่ส่งเงินเข้าสู่ระบอบการปกครองและอำนวยความสะดวกในการพัฒนาขีดความสามารถทางการทหารใหม่ๆ

[1]

archive.is/0Vdez
[2]

“Flax Typhoon ใช้ซอฟต์แวร์ถูกกฎหมายเพื่อลักลอบเข้าถึงองค์กรของไต้หวัน”, 24 สิงหาคม 2023
[3]

Volt Typhoon มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ด้วยเทคนิค Living-off-the-land, 24 พฤษภาคม 2023
[4]

錯誤】網傳「台灣阿銘的公開信」？集中投給特定陣營？非郭台銘發出”, 1 มกราคม 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「
台灣阿銘的公開信」？”, 11 มกราคม 2024, tfc-taiwan.org.tw/articles/10143
[5]

taipeitimes.com/News/front/archives/2024/01/11/2003811930>“จีนโพสต์วิดีโอปลอมของประธานาธิบดี: ที่มา”, 11 มกราคม 2024
[6]

“ใช้สื่อปลอมจนกว่าจะสำเร็จ”, กุมภาพันธ์ 2023
[7]

“แคมเปญ “Spamouflage” PRC อาจพุ่งเป้าไปที่สมาชิกรัฐสภาแคนาดาในแคมเปญการบิดเบือนข้อมูล”, ตุลาคม 2023
[8]

“จีนกระจายข้อมูลบิดเบือนเกี่ยวกับเหตุการณ์ไฟไหม้ในฮาวายโดยใช้เทคนิคใหม่”, 11 กันยายน 2023
[9]

แหล่งข้อมูลหลายแห่งได้บันทึกถึงการรณรงค์โฆษณาชวนเชื่อที่กำลังดำเนินอยู่ของรัฐบาลจีนซึ่งมีจุดมุ่งหมายเพื่อปลุกปั่นให้เกิดความไม่พอใจจากนานาประเทศเกี่ยวกับการตัดสินใจของญี่ปุ่นในการกำจัดน้ำเสียนิวเคลียร์จากอุบัติเหตุทางนิวเคลียร์ที่ฟุกุชิมะ ไดอิจิเมื่อปี 2011 ดู: การบิดเบือนข้อมูลของจีนกระตุ้นความโกรธแค้นจากการทิ้งน้ำเสียในฟุกุชิมะ”, 31 สิงหาคม 2023, “ญี่ปุ่นตกเป็นเป้าหมายของการโฆษณาชวนเชื่อของจีนและแคมเปญออนไลน์แอบแฝง”, 8 มิถุนายน 2023
[10]

“การดำเนินการของผู้แทรกแซงด้านข้อมูลข่าวสารระดับโลกของสื่อในรัฐจีน”, 31 มกราคม 2022
[11]

web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/
[12]

การดำเนินการเหล่านี้เกิดขึ้นหลายเดือนก่อนที่ชุมชนข่าวกรองของเกาหลีใต้จะเปิดเผยเครือข่ายเว็บไซต์แยกต่างหากที่เผยแพร่โฆษณาชวนเชื่อ CCPaligned ซึ่งหน่วยข่าวกรองแห่งชาติของประเทศ (NIS) เชื่อว่ามาจากบริษัทประชาสัมพันธ์ของจีนสองแห่ง ได้แก่ Haixun และ Haimai ดู: “(NCSC 합동분석협의체) 중국의 언론사 위장 웹사이트를 악용한 영향력 활동”, 13 พฤศจิกายน 2023
[13]

archive.is/2pyle
[14]

471802-train-derailment-america-s-environmental-conspiracybafybeibubf4ivvsadcgy4kjvbwynjk24rmkn7h7grtado4yvetd7c2ajbe
[15]

“ความซับซ้อน ขอบเขต และขนาด: ภัยคุกคามทางดิจิทัลจากเอเชียตะวันออกขยายวงกว้างและมีประสิทธิภาพมากขึ้น”, กันยายน 2023
[16]

“ภาพรวมและคำแนะนำเกี่ยวกับภัยคุกคามทางไซเบอร์ของเกาหลีเหนือ”cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/north-korea
[17]

“พิเศษ: ผู้เชี่ยวชาญจาก UN ตรวจสอบการโจมตีทางไซเบอร์ 58 ครั้งที่มีมูลค่า USD$3 พันล้านโดยเกาหลีเหนือ”, 8 กุมภาพันธ์ 2024 “แฮกเกอร์ในเกาหลีเหนือขโมยสกุลเงินดิจิทัล USD$600 ล้านในปี 2023”, 5 มกราคม 2024
[18]

“โครงการขีปนาวุธครึ่งหนึ่งในเกาหลีเหนือใช้เงินทุนจากการโจมตีทางไซเบอร์และการขโมยสกุลเงินดิจิทัล, ทำเนียบขาวกล่าว”, 10 พฤษภาคม 2023
[19]

“เกาหลีเหนืออ้างว่าได้ปล่อยดาวเทียมสอดแนมดวงแรกสำเร็จ และจะมีดวงอื่นๆ ตามมาอีก”, 22 พฤศจิกายน 2023
[20]

“การแจ้งเตือนความปลอดภัย: แคมเปญวิศวกรรมสังคมพุ่งเป้าไปที่พนักงานอุตสาหกรรมเทคโนโลยี”, 18 กรกฎาคม 2023
[21]

“ข้อเท็จจริง: การประชุมผู้นำไตรภาคีที่ Camp David”, 18 สิงหาคม 2023
[22]

“ZINC ใช้ซอฟต์แวร์โอเพนซอร์สเป็นอาวุธ”, 29 กันยายน 2022
[23]

การรักษาความได้เปรียบเหนือผู้ดำเนินการภัยคุกคาม

การดำเนินการแทรกแซงด้านข้อมูลข่าวสารทางไซเบอร์ รัฐชาติ รายงานเกี่ยวกับรัฐชาติ การโจมตีแบบวิศวกรรมสังคม ผู้ดำเนินการภัยคุกคาม