Trace Id is missing

Les menaces numériques émanant de l’Asie de l’Est prennent de l’ampleur et gagnent en efficacité

Télécharger
Partager
Personne assise devant un ordinateur

Introduction

Plusieurs tendances émergentes dénotent un changement rapide du paysage des menaces en Asie de l'Est, la Chine menant à la fois des cyberopérations et des opérations d'influence d'envergure, et les acteurs des cybermenaces nord-coréennes faisant preuve de plus en plus de sophistication.

Premièrement, les groupes de cybermenace affiliés à l'État chinois ont montré une attention particulière dans la région de la mer de Chine méridionale, dirigeant des opérations de cyberespionnage à l'encontre des gouvernements et autres entités critiques qui entourent cette zone maritime. Pendant ce temps, en ciblant le secteur de défense des États-Unis et en sondant les signaux de l'infrastructure américaine , la Chine tente de gagner un avantage compétitif dans ses relations étrangères et ses objectifs militaires stratégiques.

Deuxièmement, l'année dernière, la Chine a gagné en efficacité en attirant les utilisateurs des réseaux sociaux avec des opérations d'influence. Les campagnes chinoises d'influence en ligne misent depuis longtemps sur le volume pour atteindre les utilisateurs avec des systèmes de faux comptes de réseaux sociaux. Toutefois, depuis 2022, les systèmes de réseaux sociaux favorables à la Chine ont directement interagi avec des utilisateurs authentiques sur les réseaux sociaux, ciblé des candidats spécifiques avec du contenu sur les élections américaines et se sont fait passer pour des électeurs américains. D'un autre coté, l'initiative des influenceurs de réseaux sociaux multilingues affiliés à l'État chinois a réussi à interagir avec des publics cibles dans au moins 40 langues et a développé son audience jusqu'à plus de 103 millions de personnes.

Troisièmement, la Chine a continué à augmenter ses campagnes d'opérations d'influence l'année dernière, développant ses efforts vers de nouvelles langues et de nouvelles plateformes pour élargir son empreinte mondiale. Sur les réseaux sociaux, des campagnes déploient des milliers de faux comptes sur des dizaines de sites web diffusant des mèmes, des vidéos et des messages en plusieurs langues. Dans les médias d'information en ligne, les médias officiels chinois se positionnent avec tact et efficacité comme étant la voix autorisée du discours international sur la Chine, usant de divers moyens pour influencer les organes de presse internationaux. Une de ces campagnes diffusait la propagande du Parti communiste chinois (CCP) sur des sites web d'actualités localisés visant la diaspora chinoise dans plus de 35 pays.

Enfin, la Corée du Nord qui, contrairement à la Chine, n'a pas encore la capacité de devenir un acteur d'influence sophistiqué, reste une formidable cybermenace. La Corée du Nord a montré un intérêt soutenu pour la collecte de renseignements et une sophistication technique grandissante en tirant profit de tactiques comme des attaques en cascade de la chaîne d’approvisionnement et le vol de cryptomonnaie.

Les cyberopérations de la Chine renouvellent leur attention sur la mer de Chine méridionale et les secteurs d'activité clés aux États-Unis

Depuis le début de l'année 2023, la Veille des menaces Microsoft a identifié trois domaines d'attention particulière des acteurs de cybermenace affiliés à la Chine : la mer de Chine méridionale, la base industrielle de défense américaine et l'infrastructure critique américaine.

Le ciblage commandité par l’État chinois reflète des objectifs stratégiques dans la mer de Chine méridionale

Les acteurs de menace affiliés à l’État chinois font preuve d’un intérêt soutenu dans la mer de Chine méridionale et à Taïwan, ce qui montre l’ampleur des intérêts économiques, politiques et de défense de la Chine dans cette région.1 Les revendications territoriales conflictuelles, donnant lieu a des tensions de part et d’autre du Détroit, et le développement de la présence militaire des américains sont autant de motivations à l’origine des cyberactivités offensives de la Chine.2

Microsoft a identifié Raspberry Typhoon (RADIUM) comme le principal groupe de menace qui cible les nations autour de la mer de Chine méridionale. Raspberry Typhoon cible constamment les ministères gouvernementaux, les entités militaires et les entités corporatives liées à une infrastructure critique, en particulier les télécoms. Depuis janvier 2023, Raspberry Typhoon s'est montré particulièrement persistant. Quand il cible les ministères gouvernementaux ou une infrastructure, Raspberry Typhoon organise généralement une collecte de renseignements et l'exécution de logiciels malveillants. Dans de nombreux pays, les cibles varient entre les ministères de la défense et du renseignement et les ministères liés au commerce et à l'économie.

Flax Typhoon (Storm-0919) est le groupe de menace le plus important qui cible l'île de Taïwan. Ce groupe vise principalement les télécommunications, l'enseignement, les technologies de l'information et l'infrastructure énergétique, en général en utilisant une appliance VPN personnalisée pour établir directement une présence au sein du réseau cible. De la même façon, Charcoal Typhoon (CHROMIUM) cible les institutions éducatives, l'infrastructure énergétique et la fabrication high-tech taïwanaises. En 2023, à la fois Charcoal Typhoon et Flax Typhoon ont ciblé des entités aérospatiales taïwanaises en contrat avec les militaires taïwanais.

Carte de la région de la mer de Chine méridionale mettant en évidence les événements par pays
Figure 1 : Événements observés par pays dans la mer de Chine méridionale entre janvier 2022 et avril 2023. Pour en savoir plus sur cette image, consultez la page 4 du rapport complet

Les acteurs de menace chinois dirigent leur attention sur Guam, où les États-Unis construisent une base du Corps des Marines

Plusieurs groupes de menace basés en Chine continuent de cibler la base industrielle de défense américaine, notamment Circle Typhoon (DEV-0322),Volt Typhoon (DEV-0391) et Mulberry Typhoon (MANGANESE). Bien que les cibles de ces trois groupes puissent occasionnellement coïncider, ce sont des acteurs distincts avec une infrastructure et des capacités différentes.3

Circle Typhoon a une cyberactivité très diversifiée contre la base industrielle de défense américaine, notamment le développement de ressources, la collecte, l’accès initial et l’accès aux informations d’identification. Circle Typhoon utilise souvent des appliances VPN pour cibler les prestataires de défense italiens et américains. Volt Typhoon a également mené des opérations de reconnaissance contre de nombreux entrepreneurs de défense américains. Guam est l’une des cibles les plus courantes de ces campagnes, en particulier les communications satellites et les entités de télécommunications hébergées sur l’île.4

Une tactique courante de Volt Typhoon est de compromettre des petits routeurs de bureau ou domestiques, en général dans le but de créer une infrastructure.5 Mulberry Typhoon a également ciblé la base industrielle de défense américaine, plus particulièrement avec une attaque de vulnérabilité 0-day ciblant des appareils.6 L’intensification du ciblage de Guam est un point important puisqu’il s’agit du territoire américain le plus proche de l’Asie de l’Est et qu’il a une place cruciale dans la stratégie américaine dans la région.

Les groupes de menace chinois ciblent l’infrastructure critique américaine

Au cours des six derniers mois, Microsoft a observé des groupes de menace affiliés à l'État chinois ciblant l'infrastructure critique américaine dans plusieurs secteurs ainsi qu'un développement considérable des ressources. C'est le groupe Volt Typhoon qui est le principal acteur de l'activité depuis au moins l'été 2021, et l'étendue de cette activité n'est pas encore complètement connue.

Les secteurs ciblés sont les transports (comme les ports et les chemins de fer), les services publics (comme l’énergie et le traitement des eaux), l’infrastructure médicale (y compris les hôpitaux) et l’infrastructure des télécommunications (notamment les communications par satellite et les systèmes à fibre optique). Microsoft estime que cette campagne pourrait fournir à la Chine les moyens de perturber l’infrastructure et les télécommunications critiques entre les États-Unis et l’Asie.7

Le groupe de menace basé en Chine cible environ 25 organisations, y compris des entités gouvernementales américaines

À partir du 15 mai, Storm-0558, un acteur de menace basé en Chine, utilisait des jetons d’authentification falsifiés pour accéder aux comptes de messagerie des clients Microsoft dans environ 25 organisations, y compris des entités gouvernementales européennes et américaines.8 Microsoft a bloqué avec succès cette campagne. L’objectif de l’attaque était d’obtenir un accès non autorisé aux comptes de messagerie. Microsoft a identifié que cette activité concordait avec les objectifs d'espionnage de Storm-0558. Storm-0558 avait déjà ciblé des entités diplomatiques européennes et américaines.

La Chine cible également ses partenaires stratégiques

Alors que la Chine développait ses relations bilatérales et ses partenariats internationaux avec l’Initiative Belt and Road (BRI, appelée aussi la Nouvelle route de la soie), les acteurs de menace affiliés à l’État chinois menaient en parallèle des cyberopérations contre des entités privées et publiques dans le monde entier. Les groupes de menace basés en Chine ciblent les pays qui sont favorables à la stratégie BRI du CCP, notamment des entités au Kazakhstan, en Namibie, au Vietnam, et bien d’autres.9 Pendant ce temps, l’activité de menace chinoise généralisée vise constamment les ministères étrangers basés en Europe, en Amérique latine et en Asie (vraisemblablement à des fins d’espionnage économique ou de collecte de renseignements).10 Plus l’influence mondiale de la Chine augmente, plus les activités des groupes de menace affiliés sont susceptibles de s’intensifier. Pas plus tard qu’en avril 2023, Twill Typhoon (TANTALUM) a réussi à compromettre des machines gouvernementales en Afrique et en Europe ainsi que dans des organisations humanitaires du monde entier.

Les opérations de réseaux sociaux favorables au CCP augmentent l'engagement effectif du public

Les opérations d’influence clandestines affiliées au CCP commencent désormais à interagir de plus en plus avec les publics cibles sur les réseaux sociaux, ce qui implique des niveaux supérieurs de sophistication et de culture des ressources d’opération d’influence en ligne. À l’approche des élections de mi-mandat de 2022 aux État-Unis, Microsoft et les partenaires du secteur ont observé que les comptes de réseaux sociaux affiliés au CCP se sont fait passer pour des électeurs américains : nouveau territoire pour les opérations d’influence affiliées au CCP.11 Ces comptes se sont fait passer pour des Américains du spectre politique et ont répondu aux commentaires de vrais utilisateurs.

Que ce soit en termes de comportement ou de contenu, ces comptes démontrent les nombreuses tactiques, techniques et procédures (TTP) bien documentées des opérations d’influence chinoises. Par exemple : des comptes qui commencent à publier en Mandarin, puis passent à une autre langue, interagissant avec du contenu d’autres ressources favorables à la Chine immédiatement après avoir publié, et utilisant un modèle d’interaction de type « seed and amplifier » (amorce et amplificateur).12 Contrairement aux campagnes d’opérations d’influence antérieures des acteurs affiliés au CCP, qui utilisaient des descripteurs, des noms d’affichage et des images de profil générés par ordinateur faciles à détecter13, ces comptes plus sophistiqués sont gérés par des vraies personnes qui emploient des identités fictives ou volées pour dissimuler l’affiliation des comptes au CCP.

Ces comptes de réseaux sociaux présentent des comportements similaires à l’activité rapportée menée par un groupe d’élite au sein du Ministère de la Sécurité publique (MPS) appelé le Groupe de travail spécial 912. D'après le ministère de la Justice américain, le groupe a piloté une ferme de trolls sur les réseaux sociaux qui a créé des milliers de faux personnages en ligne et a diffusé de la propagande du CCP contre les activistes pro-démocratie.

Depuis environ mars 2023, des ressources d'opérations d'influence chinoises suspectées sur les réseaux sociaux occidentaux ont commencé à utiliser l'intelligence artificielle (IA) générative pour créer du contenu visuel. Ce contenu visuel de relativement haute qualité a déjà attiré des hauts niveaux d'engagement chez les authentiques utilisateurs de réseaux sociaux. Ces images portent les marques distinctives de la génération d’images alimentée par diffusion et sont plus spectaculaires que le contenu visuel maladroit des campagnes précédentes. Les utilisateurs ont reposté ces visuels plus souvent, malgré des indicateurs courants de génération par l’IA, comme une main avec plus de cinq doigts.14

Posts de réseaux sociaux côte à côte montrant des images Black Lives Matter identiques.
Figure 2 : Un graphique "Black Lives Matter" a d'abord été chargé par un compte automatique affilié au CCP, puis a ensuite été chargé sept heures plus tard par un compte se faisant passer pour un électeur conservateur américain.
Image de propagande de la Statue de la Liberté générée par l’IA.
Figure 3 : Exemple d'image générée par l'IA postée par une ressource d'opérations d'influence chinoise suspectée. La main de la Statue de la Liberté tenant la torche a plus de cinq doigts. Pour en savoir plus sur cette image, consultez la page 6 du rapport complet.
Tableau des quatre catégories d’influenceurs (journalistes, influenceurs de style de vie (lifestyle), homologues et minorités ethniques) sur une échelle continue allant de « officiel » à « clandestin »
Figure 4 : Cette initiative est constituée d'influenceurs répartis en quatre grandes catégories selon leurs contextes, leurs publics cibles, leurs stratégies de recrutement et leurs stratégie de gestion. Tous les individus inclus dans notre analyse ont des liens directs avec les médias officiels chinois (que ce soit par leur métier, parce qu'ils ont accepté des invitation de voyages ou une rétribution monétaire). Pour en savoir plus sur cette image, consultez la page 7 du rapport complet.

Initiative des influenceurs dans les médias officiels chinois

Une autre stratégie qui suscite un engagement considérable sur les réseaux sociaux est le concept de « studios de célébrités Internet multilingues » (多语种网红工作室) du CCP.15 En utilisant le pouvoir des voix authentiques, plus de 230 employés et affiliés des médias officiels se font passer pour des influenceurs de réseaux sociaux indépendants sur toutes les grandes plateformes de réseaux sociaux occidentales.16 En 2022 et 2023, toutes les sept semaines en moyenne de nouveaux influenceurs font leurs débuts. Recrutés, formés, promus et financés par China Radio International (CRI) et d’autres médias officiels chinois, ces influenceurs répandent habilement de la propagande localisée du CCP qui obtient un engagement significatif des publics cibles dans le monde entier, atteignant un total d’au moins 103 millions d’abonnés sur plusieurs plateformes, dans au moins 40 langues.

Bien que les posts publiés par les influenceurs soient généralement du contenu lifestyle inoffensif, cette technique masque de la propagande favorable au CCP dont l'objectif est d'adoucir l'image de la Chine à l'étranger.

La stratégie de recrutement des influenceurs dans les médias officiels chinois semblent recenser deux groupes distincts d'individus : ceux avec une expérience dans le journalisme (dans les organes de presse officiels en particulier) et les récents diplômés de programmes de langues étrangères. En particulier, China Media Group (la société mère de CRI et CGTN) semble directement recruter les diplômés des meilleures écoles de langues étrangères de Chine comme l'Université des langues étrangères de Pékin et l'Université de communication de Chine. Ceux qui ne sont pas directement recrutés dans les universités sont souvent d'anciens journalistes et traducteurs, qui suppriment de leurs profils tous les indicateurs explicites d'affiliation aux médias officiels et se repositionnent en tant qu'influenceurs.

Song Siao, influenceur qui parle lao, publie un vlog lifestyle qui parle de la reprise économique de la Chine au milieu de la pandémie de COVID-19.
Figure 5 : Song Siao, influenceur parlant lao, publie un vlog lifestyle qui parle de la reprise économique de la Chine au milieu de la pandémie de COVID-19. Dans une vidéo où il se filme, il se rend chez un concessionnaire automobile à Pékin (Beijing) et parle avec des locaux. Pour en savoir plus sur cette image, voir la page 8 du rapport complet
Post spécial de Techy Rachel, une influenceuse de langue anglaise.
Figure 6 : Techy Rachel, une influenceuse de langue anglaise qui publie généralement des posts sur les innovations et la technologie chinoises, dévie de ses thèmes de contenu pour intervenir dans le débat sur le ballon espion chinois. Comme les autres organes de presse officiels chinois, elle nie que le ballon ait été utilisé à des fins d'espionnage. Pour en savoir plus sur cette image, voir la page 8 du rapport complet

Les influenceurs touchent des publics dans le monde entier dans au moins 40 langues

La distribution géographique des langues parlées par ces influenceurs affiliés à l'État est à l'image de l'influence mondiale grandissante de la Chine et sa priorisation régionale. Les influenceurs qui parlent des langues asiatiques en dehors du chinois (comme l'hindi, le cinghalais, le pachto, le lao, le coréen, le malais et le vietnamien) constituent la grande majorité. Les influenceurs de langue anglaise arrivent en deuxième position.
Cinq graphiques en secteurs décrivant la répartition des influenceurs des médias officiels chinois par langue.
Figure 7 : Répartition des influenceurs des médias officiels chinois par langue. Pour en savoir plus sur cette image, voir la page 9 du rapport complet

Audiences ciblées par la Chine dans le monde

Les influenceurs ciblent sept espaces d'audience (regroupements linguistiques) divisés en régions géographiques. Aucun graphique pour les espaces d'audience en anglais ou en chinois.

Les opérations d'influence chinoises étendent leur portée mondiale avec plusieurs campagnes

La Chine a encore élargi l’échelle de ses opérations d’influence en ligne en 2023 en touchant des publics dans de nouvelles langues et sur de nouvelles plateformes. Ces opérations combinent un dispositif de médias publics officiels hautement contrôlé et des ressources de réseaux sociaux clandestins ou obscurcis, y compris des bots, qui blanchissent et amplifient les discours préférés du CCP.17

Depuis janvier 2022 et encore aujourd’hui à l’heure où nous rédigeons cet article, Microsoft observe une de ces campagnes favorables au CCP qui cible l’organisation non gouvernementale (ONG) espagnole Safeguard Defenders après qu’elle a exposé l’existence de plus de 50 stations de police chinoises à l’étranger.18 Cette campagne a déployé plus de 1 800 comptes sur plusieurs plateformes de réseaux sociaux et des dizaines de sites web pour diffuser à grande échelle des mèmes, vidéos et messages favorables au CCP critiquant les États-Unis et d’autres démocraties.

Ces comptes ont transmis des messages dans de nouvelles langues (néerlandais, grec, indonésien, suédois, turc, ouïghour, etc.) et sur des nouvelles plateformes (y compris Fandango, Rotten Tomatoes, Medium, Chess.com et VK, entre autres). Malgré l'ampleur et la persistance de cette opération, ses publications ont rarement obtenu un engagement significatif auprès des utilisateurs authentiques, ce qui met en avant la nature rudimentaire de l'activité de ces réseaux chinois.

Tableau de 30 logos de marques technologiques connues présentés avec une liste de 16 langues
Figure 8 : Du contenu d'opérations d'influence favorable au CCP a été détecté sur de nombreuses plateformes et dans de nombreuses langues. Pour en savoir plus sur cette image, voir la page 10 du rapport complet
Capture d’écran côte à côte d’exemples de vidéo de propagande en taïwanais
Figure 9 : Gros volumes de partages de posts d'une vidéo en taïwanais appelant le gouvernement taïwanais à "se livrer" à Pékin (Beijing). La grande différence entre les impressions et les partages est hautement indicative d'une activité coordonnée des opérations d'influence. Pour en savoir plus sur cette image, voir la page 10 du rapport complet

Un réseau mondial voilé de sites web d’actualités du CCP

Un autre exemple de campagne des médias numériques qui illustre l’ampleur croissante des opérations d’influence affiliées au CCP est un réseau de plus de 50 sites web d’actualités essentiellement en chinois qui appuient l’objectif déclaré du CCP d’être la voix de référence de tous les médias en chinois de par le monde.19 Bien qu’ils se présentent comme des sites web non affiliés largement indépendants servant différentes communautés de la diaspora chinoise autour du globe et compte tenu des indicateurs techniques, des informations d’inscription de site web et du contenu partagé, nous estimons avec une grande confiance que ces sites web sont affiliés au Département du travail de front uni (United Front Work Department, UFWD) du CCP, un organe responsable du renforcement de l’influence du CCP au-delà des frontières de la Chine (notamment en travaillant en liaison avec des « chinois d’outre-mer »).20
Carte du monde avec plus de 20 logos de sites web chinois ciblant la diaspora mondiale chinoise.
Figure 10 : Carte des sites web ciblant la diaspora chinoise mondiale qui sont évalués dans le cadre de cette stratégie des médias.  Pour en savoir plus sur cette image, voir la page 11 du rapport complet

Parce que beaucoup de ces sites partagent des adresses IP, l'interrogation des résolutions de domaine avec Veille des menaces Microsoft Defender nous a permis de découvrir davantage de sites dans le réseau. Un grand nombre de ces sites partagent du code HTML web de front-end, dans lequel même les commentaires des développeurs web incorporés dans le code sont souvent identiques pour les différents sites web. Plus de 30 de ces sites utilisent la même interface de programmation d’applications (API) et le même système de gestion de contenu qu’une « filiale à part entière » de China News Service (CNS), l’agence de médias de l’UFWD.21 Des enregistrements du Ministère de l’industrie et des technologies de l’information de Chine révèlent par ailleurs que cette entreprise technologique affiliée à l’UFWD et une autre ont inscrit au moins 14 sites d’actualités dans ce réseau.22 En utilisant des filiales et des entreprises de médias tierces dans cette voie, l’UFWD peut toucher un public mondial tout en dissimulant son implication directe.

Ces sites web prétendent être des fournisseurs d’actualités indépendants tout en republiant souvent les mêmes articles de médias officiels chinois, se revendiquant souvent comme étant à l’origine du contenu. Alors que les sites couvrent largement les actualités internationales et publient des articles génériques des médias officiels chinois, les sujets politiquement sensibles favorisent de manière écrasante le discours préféré du CCP. Par exemple, plusieurs centaines d’articles dans ce réseau de sites web font la promotion de fausses revendications selon lesquelles le virus du COVID-19 serait une arme biologique fabriquée dans le laboratoire de recherche biologique militaire américain de Fort Detrick.23 Les sites font également souvent circuler des déclarations de membres officiels du gouvernement chinois et des articles des médias officiels prétendant que le virus du COVID-19 viendrait des États-Unis et non de la Chine. Ces sites web montrent dans quelle mesure le contrôle du CCP à pénétré l’environnement des médias chinois, autorisant le Parti à noyer les reportages critiques traitant des sujets sensibles.

Diagramme d’accord d’articles publiés par plusieurs sites qui se chevauchent.
Figure 11 : Sites web qui se présentent comme étant uniques à une localité mais partagent un contenu identique. Ce diagramme d'accord montre des articles se recoupant publiés par plusieurs sites. Pour en savoir plus sur cette image, voir la page 12 du rapport complet
Capture d’écran de la façon dont l’article de China News Service a été republié sur des sites web ciblant des publics en Italie, Hongrie, Russie et Grèce
Figure 12 : China News Service et d'autres médias officiels chinois ont publié un article intitulé "Statement from the WHO exposes dark US biolaboraties in Ukraine" (Une déclaration du WHO expose des laboratoires biologiques obscurs en Ukraine). Cet article a ensuite été publié sur des sites web ciblant des publics en Hongrie, Suède, Afrique de l'Ouest et Grèce. Pour en savoir plus sur cette image, voir la page 12 du rapport complet

Portée mondiale des médias officiels chinois

Bien que la campagne décrite plus haut soit remarquable d’obfuscation, les véritables sites web des médias officiels chinois représentent la vaste majorité de l’auditoire mondial des médias dirigés par le CCP. En se développant dans des langues étrangères,24 en ouvrant des bureaux de médias officiels chinois à l’étranger,25 et en fournissant du contenu pro-Pékin (Beijing) gratuit,26 le CCP étend la portée de son « pouvoir discursif » (话语权) en injectant de la propagande dans les médias d’actualités des pays du monde entier.27
Organigramme représentant un instantané de l’écosystème de propagande manifeste du CCP.
Figure 13 : Organigramme représentant un instantané des fonctions et entités qui constituent l'écosystème de propagande manifeste du CCP. Pour en savoir plus sur cette image, voir la page 13 du rapport complet

Mesure du trafic vers les sites web des médias officiels chinois

Le laboratoire AI for Good de Microsoft a développé un indice pour mesurer le flux de trafic des utilisateurs en dehors de Chine vers les organes de presse majoritairement détenus par le gouvernement chinois. L’indice mesure la proportion du trafic visitant ces sites par rapport au trafic global sur internet, comme l’indice de propagande russe (RPI) introduit en juin 2022.28

Cinq domaines dominent la consommation des médias officiels chinois, représentant environ 60 % de toutes les vues de page des médias officiels chinois.

Graphique montrant la consommation des médias chinois
Pour en savoir plus sur cette image, voir la page 14 du rapport complet

L'indice peut montrer les tendances de succès relatif des organes des médias officiels chinois par zone géographique au fil du temps. Par exemple, parmi les États membres de l'Association des Nations de l'Asie du Sud-Est (ASEAN), Singapour et le Laos ressortent avec plus de deux fois le trafic relatif vers les sites web des médias officiels chinois, comparé au Brunei qui vient en troisième position. Les Philippines sont en dernière position, avec 30 fois moins de trafic vers les sites web des médias officiels chinois que Singapour et le Laos. À Singapour, où le mandarin est la langue officielle, la forte consommation des médias officiels chinois dénote l'influence de la Chine sur les actualités en mandarin. Au Laos, les personnes qui parlent chinois sont bien moins nombreuses, ce qui reflète le succès relatif des médias officiels chinois dans l'environnement du pays.

Capture d’écran de la page d’accueil du domaine le plus visité, PhoenixTV.
Figure 14 : Page d'accueil du domaine le plus visité, PhoenixTV, avec 32 % de toutes les vues de page. Pour en savoir plus sur cette image, voir la page 14 du rapport complet

Les cyberopérations nord-coréennes de plus en plus sophistiquées collectent des renseignements et génèrent des revenus pour l'État

Les acteurs de menace nord-coréens poursuivent des cyberopérations visant à (1) collecter des renseignements sur les activités des adversaires perçus de l'État : Corée du Sud, États-Unis et Japon, (2) collecter des renseignements sur les capacités militaires d'autres pays pour améliorer les leurs et (3) collecter des fonds de cryptomonnaie pour l'État. Au cours de l'année dernière, Microsoft a observé une grande coïncidence des ciblages des différents acteurs de menace nord-coréens et une augmentation de la sophistication des groupes d'activité nord-coréens.

Les cyberpriorités de la Corée du Nord mettent l'accent sur la recherche en technologie maritime tout en testant des drones et des véhicules sous-marins

L'année dernière, la Veille des menaces Microsoft a observé une grande coïncidence des ciblages des acteurs de menace nord-coréens. Par exemple, trois acteurs de menace nord-coréens (Ruby Sleet (CERIUM), Diamond Sleet (ZINC) et Sapphire Sleet (COPERNICIUM)) ont ciblé le secteur maritime et des chantiers navals de novembre 2022 à janvier 2023. Microsoft n'avait pas auparavant observé ce niveau de coïncidence de ciblage entre les nombreux groupes d'activité nord-coréens, ce qui suggère que la recherche en technologie maritime était une haute priorité pour le gouvernement nord-coréen à ce stade. En mars 2023, la Corée du Nord a apparemment testé le lancement de deux missiles de croisière stratégiques depuis un sous-marin vers la Mer du Japon (alias la Mer de l'Est) en guise d'avertissement pour l'exercice militaire "South Korea-US Freedom Shield". Plus tard dans le mois et pendant le suivant, la Corée du Nord a prétendument testé deux drones d'attaque sous-marins Haeil au large de la côte est du pays vers la Mer du Japon/Mer de l'Est. Ces tests de capacités militaires maritimes se sont produits peu après que trois cybergroupes nord-coréens ont ciblé des entités de défense maritime pour collecter des renseignements.

Les acteurs de menace compromettent des entreprises de défense alors que le régime nord-coréen définit des exigences de collecte haute priorité

De novembre 2022 à janvier 2023, Microsoft a observé une deuxième vague de coïncidence des ciblages, avec la compromission des entreprises de défense par Ruby Sleet et Diamond Sleet. Les deux acteurs de menace ont compromis deux entreprises de fabrication d'armes basées en Allemagne et en Israël. Cela suggère que le gouvernement nord-coréen mandate plusieurs groupes d'acteurs de menace simultanément pour répondre aux exigences de collecte haute priorité permettant d'améliorer les capacités militaires du pays. Depuis janvier 2023, Diamond Sleet a également compromis des entreprises de défense au Brésil, en Tchéquie, en Finlande, en Italie, en Norvège et en Pologne.
Graphique en secteurs montrant par pays les industries de défense les plus ciblées par la Corée du Nord
Figure 15 : Corée du Nord ciblant l'industrie de défense par pays, de mars 2022 à mars 2023

Le gouvernement russe et les industries de défense restent des cibles pour la Corée du Nord qui souhaite collecter des renseignements

Plusieurs acteurs de la menace nord-coréens ont récemment ciblé le secteur de la défense et le gouvernement russes, tout en fournissant simultanément un soutien matériel à la Russie dans sa guerre en Ukraine.32 En mars 2023, Ruby Sleet a compromis un institut de recherche aérospatiale en Russie. Par ailleurs, début mars, Onyx Sleet (PLUTONIUM) a compromis un appareil appartenant à une université en Russie. Parallèlement, toujours en mars, un compte d'attaquant attribué à Opal Sleet (OSMIUM) a envoyé des courriels de hameçonnage à des comptes appartenant à des entités gouvernementales diplomatiques russes. Les acteurs de menace nord-coréens pourraient profiter de l'occasion d'une collecte de renseignements dans les entités russes pendant que le pays est concentré sur la guerre en Ukraine.

Les groupes nord-coréens présentent des opérations plus sophistiquées avec le vol de cryptomonnaie et les attaques de la chaîne d'approvisionnement

Microsoft estime que les groupes d'activité nord-coréens organisent des opérations de plus en plus sophistiquées par le biais de vol de cryptomonnaie et d'attaques de la chaîne d'approvisionnement. En janvier 2023, le Federal Bureau of Investigation (FBI) a publiquement attribué le vol de 100 millions USD en cryptomonnaie du pont Horizon d’Harmony, qui a eu lieu en juin 2022, à Jade Sleet (DEV-0954), alias Lazarus Group/APT38.33 Par ailleurs, Microsoft a attribué l’attaque de la chaîne d’approvisionnement 3CX en mars 2023 à Citrine Sleet (DEV-0139), attaque qui a tiré profit de la compromission antérieure de la chaîne d’approvisionnement, en 2022, d’une société de technologie financière basée aux États-Unis. C’est la première fois que Microsoft observait un groupe d’activité utilisant une compromission existante de la chaîne d’approvisionnement pour organiser une autre attaque de la chaîne d’approvisionnement, ce qui prouve le caractère de plus en plus sophistiqué des cyberopérations nord-coréennes.

Emerald Sleet déploie une tactique de spearfishing qui a fait ses preuves en incitant des experts à répondre avec des insights de politique étrangère

Emerald Sleet (THALLIUM) reste l'acteur de menace nord-coréen le plus actif identifié par Microsoft dans le courant de l'année dernière. Emerald Sleet continue d'envoyer des courriels de spearfishing (hameçonnage plus ciblé et sophistiqué) aux experts du monde entier de la péninsule coréenne pour collecter des renseignements. En décembre 2022, la Veille des menaces Microsoft a décrit en détail les campagnes de hameçonnage d'Emerald Sleet qui ciblaient les experts influents de la Corée du Nord aux États-Unis et dans les pays alliés des États-Unis. Plutôt que de déployer des fichiers ou des liens malveillants sur des sites web malveillants, Microsoft a remarqué qu'Emerald Sleet utilise une tactique unique : ils se font passer pour des institutions académiques et des ONG réputées pour inciter leurs victimes à répondre avec des insights et des commentaires d'expert sur les politiques étrangères liées à la Corée du Nord.

Capacités : Influence

L’année dernière, la Corée du Nord a organisé des opérations d’influence limitées sur des plateforme de réseaux sociaux de partages vidéo comme YouTube et TikTok.34 Les influenceurs nord-coréens sur YouTube sont en grande majorité des jeunes filles et des femmes, l’une d’entre elles n’ayant que onze ans, qui publient des vlogs sur leur vie de tous les jours et mettent en avant un discours positif sur le régime. Certains influenceurs parlent anglais dans leurs vidéos, avec l’intention de toucher un public mondial. Les influenceurs de Corée du Nord sont beaucoup moins efficaces que l'initiative des influenceurs soutenus par les médias officiels chinois.

Perspectives d'avenir compte tenu des tensions géopolitiques qui entraînent une cyberactivité et des opérations d'influence

La Chine a continué de développer ses cybercapacités ces dernières années et a fait preuve d'une ambition toujours plus grande dans ses campagnes d'opérations d'influence. À moyen terme, la Corée du Nord va rester concentrée sur des cibles liées à ses intérêts politiques, économiques et de défense dans la région. Nous pouvons nous attendre à un cyberespionnage plus vaste contre les opposants et les supporters des objectifs géopolitiques du CCP sur tous les continents. Alors que les groupes de menace basés en Chine continuent de développer et d'utiliser des cybercapacités impressionnantes, nous n'avons pas observé de combinaison d'opérations d'influence et de cyberopérations par la Chine, contrairement à l'Iran et la Russie qui se lancent dans des campagnes de "hack-and-leak" (piratage et divulgation).

Opérant à une échelle jamais égalée par les autres acteurs d'influence malveillants, les acteurs d'influence favorables à la Chine sont sur le point d'exploiter plusieurs tendances et événements clés dans les six prochains mois.

Premièrement, les opérations qui utilisent des médias visuels et vidéo sont en train de devenir la norme. Les réseaux affiliés au CCP utilisent depuis longtemps les images de profil générées par l’IA et, cette année, ils ont adopté l’art généré par l’IA pour les mèmes visuels. Les acteurs soutenus par l’État vont également continuer à puiser dans les studios de contenu privés et les sociétés de relations publiques pour sous-traiter la propagande à la demande.35

Ensuite, la Chine va continuer à chercher l’engagement du public, en investissant du temps et des ressources dans des atouts de réseaux sociaux cultivés. Les influenceurs dotés d'une vaste connaissance linguistique et culturelle et publiant du contenu vidéo haute qualité ont été les pionniers de l'engagement sur les réseaux sociaux. Le CCP appliquera certaines de ces tactiques, notamment l'interaction avec les utilisateurs des réseaux sociaux et la démonstration de savoir-faire culturel, pour renforcer ses campagnes de réseaux sociaux clandestines.

Troisièmement, Taïwan et les États-Unis sont susceptibles de rester les deux principales priorités des opérations d'influence chinoises, en particulier compte tenu des prochaines élections dans les deux pays en 2024. Étant donné que, ces derniers temps, les acteurs d'influence favorables au CCP ont ciblé les élections américaines, il est quasiment certain qu'ils recommenceront. Les actifs des réseaux sociaux qui se font passer pour des électeurs américains vont probablement montrer des niveaux supérieurs de sophistication, semant activement la discorde sur les sujets raciaux, socioéconomiques et idéologiques, avec du contenu violemment critique sur les États-Unis.

  1. [1]
  2. [2]

    De nouvelles bases aux Philippines augmentent la présence militaire américaine dans la région, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    À l'heure actuelle, il n'y a pas assez de preuves pour relier les groupes ensemble.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092 ; https://go.microsoft.com/fwlink/?linkid=2262093 ; ces statistiques reflètent les données à partir d'avril 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359 ; https://go.microsoft.com/fwlink/?linkid=2262520 ; ces acteurs d'influence sont parfois appelés "Spamouflage Dragon" ou "DRAGONBRIDGE".
  18. [18]
  19. [19]
  20. [20]

    Consultez : Framework du Centre d'analyse des menaces Microsoft pour déterminer les attributions d'influence. https://go.microsoft.com/fwlink/?linkid=2262095 ; La diaspora chinoise est communément désignée comme les "chinois d'outre-mer" ou 华侨 (huaqiao) par le gouvernement chinois, faisant référence aux personnes ayant la citoyenneté chinoise ou des origines chinoises et qui résident en dehors de la République populaire de Chine (PRC). Pour plus de détails sur l'interprétation de Pékin (Beijing) concernant la diaspora chinoise, consultez : https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Le gouvernement chinois a initié ce discours au début la pandémie de COVID-19, consultez : https://go.microsoft.com/fwlink/?linkid=2262170 ; Les sites web au sein du réseau promouvant cette revendication sont : https://go.microsoft.com/fwlink/?linkid=2262438 ; https://go.microsoft.com/fwlink/?linkid=2262259 ; https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Défense de l’Ukraine : Les premières leçons à tirer de la cyberguerre, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Une autre interprétation de xuexi qiangguo est "Étudiez Xi, renforcez le pays". Le nom est un jeu de mots à partir du nom de famille de Xi Jinping. Les gouvernements, les universités et les entreprises en Chine encouragent fortement l'utilisation de l'application, parfois en humiliant ou en punissant les subordonnés qui ne l'utilisent pas assez, consultez : https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Le journal est détenu par Shanghai United Media Group, lui-même détenu par le comité du Parti communiste de Shanghai : https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    Le CCP a précédemment investi dans des entreprises du secteur privé qui soutiennent les campagnes d'opérations d'influence avec des techniques de manipulation SEO, des fausses mentions J'aime et des faux abonnés, et d'autres services. Des documents d'approvisionnement révèlent ces offres : https://go.microsoft.com/fwlink/?linkid=2262522

Cyberopérations d'influence Rapports sur les États-nations d'Asie de l'Est Rapports sur les États-nations Hameçonnage Acteurs de menace

Articles connexes

Volt Typhoon cible des infrastructures américaines critiques avec des techniques de "survie sur le terrain" (living-off-the-land)

L’acteur de menace Volt Typhoon, soutenu par l’État chinois, a été observé en train d’utiliser des techniques furtives pour cibler les infrastructures critiques américaines, mener des activités d’espionnage et opérer dans des environnements compromis.
En savoir plus

La propagande à l’ère du numérique : Comment les opérations de cyber-influence érodent la confiance

Enquête sur l’univers des opérations de cyber-influence, où les États-nations diffusent de la propagande visant à menacer les informations fiables dont la démocratie a besoin pour prospérer.
En savoir plus

L’Iran se tourne vers les opérations de cyberinfluence pour plus d’efficacité

Le système de veille des menaces Microsoft a révélé une augmentation des opérations de cyberinfluence lancées par l’Iran. Obtenez des insights sur les menaces, notamment des détails sur les nouvelles techniques et sur les menaces potentielles dans le futur.
En savoir plus

Suivez la Sécurité Microsoft