Trace Id is missing

Aumenta la portata e l'efficacia delle minacce digitali dell'Asia orientale

Una persona seduta davanti a un computer

Introduzione

Diverse nuove tendenze mostrano un panorama delle minacce in rapida evoluzione in Asia orientale, dove la Cina sta conducendo operazioni informatiche e di influenza su vasta scala, mentre gli attori di minacce informatiche della Corea del Nord diventano sempre più abili ed esperti.

In primo luogo, i gruppi di hacker affiliati allo stato cinese hanno mostrato un interesse particolare per la regione del Mar Cinese Meridionale, indirizzando lo spionaggio informatico ai governi e ad altre entità critiche che si affacciano su questa zona marittima. Nel frattempo, la Cina sta prendendo di mira il settore della difesa degli Stati Uniti e sta analizzando i segnali dell'infrastruttura statunitense per provare a ottenere vantaggi competitivi per le relazioni estere e gli obiettivi militari strategici della Cina.

In secondo luogo, la Cina è diventata più efficace nel coinvolgere gli utenti dei social media con le operazioni di influenza nell'ultimo anno. Le campagne di influenza online cinese si sono basate a lungo sui grandi volumi per raggiungere gli utenti tramite reti di account di social media non autentici. Dal 2022, tuttavia, le reti di social media allineate alla Cina hanno interagito direttamente con utenti autentici sui social media, hanno preso di mira candidati specifici nei contenuti sulle elezioni degli Stati Uniti e hanno finto di essere elettori americani. Separatamente, l'iniziativa degli influencer multilingue affiliati allo stato cinese ha raggiunto destinatari specifici in almeno 40 lingue e ha fatto aumentare il suo pubblico a oltre 103 milioni di utenti.

In terzo luogo, la Cina ha continuato a incrementare le sue campagne di operazioni di influenza nell'ultimo anno, promuovendo iniziative in nuove lingue e su nuove piattaforme per aumentare il suo footprint globale. Sui social media, le campagne impiegano migliaia di account non autentici su decine di siti Web che diffondono meme, video e messaggi in più lingue. Per quanto riguarda i mezzi di informazione online, i media dello stato cinese sono diplomatici ed efficaci nel posizionarsi come voce autorevole nel dibattito internazionale sulla Cina, usando una varietà di mezzi per esercitare la loro influenza sugli organi di stampa mondiali. Una campagna ha diffuso la propaganda del Partito Comunista Cinese (PCC) tramite siti Web di notizie localizzati rivolti alla diaspora cinese in più di 35 Paesi.

Infine, la Corea del Nord (che, a differenza della Cina, non dispone di un attore di influenza avanzato) rimane una minaccia informatica formidabile. La Corea del Nord ha mostrato un interesse continuo nella raccolta di informazioni e nell'attuare tattiche sempre più complesse sfruttando attacchi alla catena di approvvigionamento a cascata e furto di criptovalute, per citare solo qualche esempio.

Le operazioni informatiche della Cina rinnovano l'attenzione sul Mar Cinese Meridionale e sulle industrie principali degli Stati Uniti

Dall'inizio del 2023, Microsoft Threat Intelligence ha identificato tre aree di interesse particolare per gli attori di minacce informatiche affiliati alla Cina: il Mar Cinese Meridionale, la base industriale della difesa degli Stati Uniti e l'infrastruttura critica degli Stati Uniti.

Il targeting sponsorizzato dallo stato cinese rispecchia gli obiettivi strategici nel Mar Cinese Meridionale

Gli attori di minacce affiliati allo stato cinese manifestano un costante interesse per il Mar Cinese Meridionale e Taiwan, che riflette l'ampia varietà di interessi economici, politici e di difesa della Cina in questa area geografica.1 Le rivalse territoriali, l'inasprirsi delle tensioni nello Stretto e una maggiore presenza militare degli Stati Uniti possono essere tutte motivazioni alla base degli attacchi informatici della Cina.2

Microsoft ha monitorato Raspberry Typhoon (RADIUM) in quanto principale gruppo di hacker che ha preso di mira le nazioni che si affacciano sul Mar Cinese Meridionale. Raspberry Typhoon colpisce costantemente ministeri, enti militari e aziende collegate all'infrastruttura critica, soprattutto le telecomunicazioni. Da gennaio 2023, Raspberry Typhoon è stato particolarmente persistente. Quando attacca i ministeri o le infrastrutture, Raspberry Typhoon in genere conduce una raccolta di informazioni e un'esecuzione di malware. In molti Paesi, i target variano dai ministeri della difesa e dell'intelligence a quelli dell'economia e del commercio.

Flax Typhoon (Storm-0919) è il gruppo di hacker più noto che ha come bersaglio l'isola di Taiwan. Questo gruppo prende di mira per prima cosa le telecomunicazioni, l'istruzione, l'IT e l'infrastruttura energetica, in genere sfruttando un'applicazione VPN personalizzata per stabilire direttamente una presenza nella rete target. Analogamente, Charcoal Typhoon (CHROMIUM) attacca gli istituti di istruzione, l'infrastruttura energetica e la produzione high-tech di Taiwan. Nel 2023, Charcoal Typhoon e Flax Typhoon hanno colpito le entità aerospaziali di Taiwan che collaborano con l'esercito taiwanese.

Mappa dell'area geografica del Mar Cinese Meridionale che evidenzia gli eventi osservati per ogni Paese
Figura 1: Eventi osservati per ogni paese nel Mar Cinese Meridionale da gennaio 2022 ad aprile 2023. Scopri di più su questa immagine a pagina 4 del report completo

Gli attori di minacce cinesi rivolgono la loro attenzione verso Guam, una base della marina degli Stati Uniti

La base industriale della difesa degli Stati Uniti continua a essere attaccata da diversi gruppi di hacker in Cina, ovvero Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) e Mulberry Typhoon (MANGANESE). I target di questi tre gruppi a volte si sovrappongono, ma si tratta di attori distinti con diverse infrastrutture e capacità.3

Circle Typhoon conduce un'ampia gamma di attività informatiche contro la base industriale della difesa degli Stati Uniti, compreso lo sviluppo delle risorse, la raccolta di dati, l'accesso iniziale e l'accesso tramite credenziali. Circle Typhoon spesso sfrutta applicazioni VPN per colpire l'IT e gli appaltatori della difesa che si trovano negli Stati Uniti. Anche Volt Typhoon ha condotto attività di ricognizione contro numerosi appaltatori della difesa degli Stati Uniti. Guam è uno dei target più frequenti di queste campagne, soprattutto le entità di telecomunicazioni e comunicazioni satellite che vi hanno sede.4

Una tattica frequente di Volt Typhoon consiste nella compromissione di piccoli router domestici e di uffici, di solito per la costruzione dell'infrastruttura.5 Anche Mulberry Typhoon ha attaccato la base industriale della difesa degli Stati Uniti, in particolare con un exploit zero-day rivolto ai dispositivi.6 Il targeting più intenso di Guam è significativo data la sua posizione in quanto territorio statunitense più vicino all'Asia orientale e cruciale per la strategia degli USA nell'area geografica.

Gruppi di hacker cinesi attaccano l'infrastruttura critica degli Stati Uniti

Microsoft ha osservato gruppi di hacker affiliati allo stato cinese che attaccano l'infrastruttura critica degli Stati Uniti in molti settori e lo sviluppo di risorse importanti negli ultimi sei mesi. Volt Typhoon è il gruppo principale dietro questa attività almeno dall'estate del 2021, e la portata di tale attività ancora non è del tutto nota.

I settori colpiti includono trasporti (ad esempio, porti e ferrovie), utilità (ad esempio, i settori energetico e di trattamento delle acque), infrastrutture sanitarie (tra cui gli ospedali) e le infrastrutture delle telecomunicazioni (tra cui sistemi di fibra ottica e comunicazioni satellite). Microsoft ritiene che questa campagna potrebbe fornire alla Cina i mezzi per interrompere le infrastrutture critiche e le comunicazioni tra gli Stati Uniti e l'Asia.7

Il gruppo di hacker in Cina colpisce circa 25 organizzazioni, tra cui entità del governo degli Stati Uniti

Dal 15 maggio, Storm-0558, un attore di minacce che si trova in Cina, ha usato token di autenticazione contraffatti per accedere agli account email dei clienti Microsoft di circa 25 organizzazioni, tra cui entità dei governi europei e statunitensi8 Microsoft ha bloccato questa campagna. L'obiettivo dell'attacco era ottenere l'accesso non autorizzato agli account email. Secondo Microsoft, questa attività rispecchiava gli obiettivi di spionaggio di Storm-0558. In precedenza, Storm-0558 ha attaccato entità diplomatiche europee e statunitensi.

La Cina colpisce anche i propri partner strategici

A mano a mano che la Cina ha intensificato le sue relazioni bilaterali e partnership globali con la Nuova via della seta (Belt and Road Initiative, BRI), gli attori di minacce affiliati allo stato cinese hanno condotto operazioni informatiche parallele contro entità pubbliche e private in tutto il mondo. I gruppi di hacker che si trovano in Cina attaccano i Paesi che sono in linea con la strategia della BRI del PCC, tra cui le entità in Kazakistan, Namibia, Vietnam e altre aree geografiche.9 Nel frattempo, l'attività di minaccia cinese su larga scala colpisce i ministeri stranieri in Europa, America Latina e Asia (probabilmente per perseguire obiettivi relativi alla raccolta di informazioni e allo spionaggio economico).10 Mentre la Cina espande la sua influenza globale, le attività dei gruppi di hacker affiliati proseguono. Ad aprile 2023, Twill Typhoon (TANTALUM) ha compromesso i computer governativi in Africa e in Europa, oltre a organizzazioni umanitarie globali.

Le operazioni dei social media allineati al PCC aumentano il coinvolgimento efficace del pubblico

Le operazioni di influenza occulte in linea con il PCC ora hanno iniziato a coinvolgere il pubblico target sui social media in misura maggiore rispetto a quanto osservato in precedenza, cosa che rappresenta livelli più alti di sofisticatezza e gestione delle risorse per le operazioni di influenza online. Prima delle elezioni di metà mandato degli Stati Uniti del 2022, Microsoft e i partner del settore hanno osservato degli account di social media affiliati al PCC fingere di essere degli elettori degli Stati Uniti, nuovo terreno per le operazioni di influenza in linea con il PCC.11 Questi account hanno finto di essere americani nello spettro politico e hanno risposto ai commenti di utenti autentici.

Sia nel comportamento che nei contenuti, questi account mostrano molte tattiche, tecniche e procedure (TTP) di operazioni di influenza cinesi ben documentate. Ecco alcuni esempi: account che iniziano a pubblicare in mandarino e poi cambiano lingua, interagiscono con contenuti di altri asset allineati alla Cina subito dopo la pubblicazione e usano uno schema di interazione "seed and amplifier".12 A differenza delle campagne di operazioni di influenza precedenti svolte da attori affiliati al PCC che usavano handle, nomi visualizzati e immagini del profilo generati da computer facili da individuare13, questi account più sofisticati sono gestiti da persone che utilizzano identità fittizie o rubate per celare la loro affiliazione con il PCC.

Gli account di social media in questa rete mostrano un comportamento simile all'attività che, secondo quanto riferito, è stata condotta da un gruppo di élite all'interno del Ministero della Pubblica Sicurezza (MPS) chiamato 912 Special Working Group. Secondo il Dipartimento di giustizia degli Stati Uniti d'America, il gruppo si è servito di una troll farm sui social media che ha creato migliaia di personaggi online falsi e ha diffuso contenuti di propaganda del PCC prendendo di mira attivisti filodemocratici.

Più o meno da marzo 2023, alcune risorse delle operazioni di influenza cinesi sospette nei social media occidentali hanno iniziato a sfruttare l'intelligenza artificiale (IA) generativa per creare contenuti visivi. Questi contenuti visivi di qualità relativamente elevata hanno già ottenuto più interazioni da utenti autentici dei social media. Queste immagini presentano tutte le caratteristiche tipiche della generazione di immagini basata sulla diffusione e risultano più accattivanti dei goffi contenuti visivi delle campagne precedenti. Gli utenti hanno repostato più spesso questi contenuti visivi, nonostante gli indicatori comuni di generazione basata su IA (ad esempio, più di cinque dita su una mano).14

Due post di social media affiancati che mostrano immagini identiche sul Black Lives Matter.
Figura 2: Una grafica del Black Lives Matter prima caricata da un account automatizzato affiliato al PCC e poi caricata da un account che finge di essere un elettore conservatore degli USA sette ore dopo.
Un’immagine di propaganda generata dall’IA della Statua della Libertà.
Figura 3: Esempio di un'immagine generata dall'IA pubblicata da un asset di operazioni di influenza cinesi sospetto. La mano della Statua della Libertà che tiene la torcia ha più di cinque dita. Scopri di più su questa immagine a pagina 6 del report completo.
Una serie di quattro categorie di influencer (giornalisti, influencer di lifestyle, colleghi e minoranze etniche) in un continuum che va da dichiarato a occulto
Figura 4: Questa iniziativa comprende influencer che rientrano in quattro ampie categorie in base a background, pubblico target, reclutamento e strategie di gestione. Tutte le persone incluse nella nostra analisi hanno legami diretti con i media statali cinesi (ad esempio tramite posti di lavoro, inviti per viaggi o altri scambi monetari). Scopri di più su questa immagine a pagina 7 del report completo.

L'iniziativa degli influencer dei media dello stato cinese

Un'altra strategia che sta stimolando interazioni significative sui social media è il concetto di "studi di celebrità di Internet multilingue" (多语种网红工作室) promosso dal PCC.15 Sfruttando la potenza di voci autentiche, più di 230 dipendenti di media statali e affiliati hanno finto di essere influencer di social media indipendenti in tutte le principali piattaforme occidentali.16 Nel 2022 e nel 2023, continuano a nascere nuovi influencer in media ogni sette settimane. Reclutati, addestrati, promossi e finanziati da China Radio International (CRI) e altri organi di stampa statali cinesi, questi influencer diffondono propaganda del PCC abilmente localizzata che ottiene interazioni significative con il pubblico target in tutto il mondo, raggiungendo un totale di almeno 103 milioni di follower su più piattaforme che parlano almeno 40 lingue.

Anche se gli influencer pubblicano contenuti di lifestyle perlopiù innocui, questa tecnica nasconde la propaganda allineata al PCC che cerca di addolcire l'immagine della Cina all'estero.

La strategia di reclutamento degli influencer da parte dei media statali cinesi sembra ingaggiare due gruppi distinti di persone: chi fa già parte del mondo del giornalismo (in particolare, lavora per organi di stampa statali) e neolaureati di corsi di lingue straniere. In particolare, China Media Group (la società madre di CRI e CGTN) sembra reclutare direttamente i laureati delle più importanti università di lingue straniere cinesi, come Beijing Foreign Studies University e Communication University of China. Se non vengono reclutati direttamente dalle università, spesso si tratta di ex giornalisti e traduttori, che rimuovono dai loro profili qualsiasi riferimento esplicito a eventuali affiliazioni ai media statali dopo essere diventati influencer.

L'influencer di lingua lao Song Siao pubblica un vlog di lifestyle che parla della ripresa economica della Cina durante la pandemia di COVID-19.
Figura 5: L'influencer di lingua lao Song Siao pubblica un vlog di lifestyle che parla della ripresa economica della Cina durante la pandemia di COVID-19. Nel video che ha registrato, visita una concessionaria d'auto a Pechino e parla con persone del posto. Scopri di più su questa immagine a pagina 8 del report completo
Post social di Techy Rachel, un'influencer di lingua inglese.
Figura 6: Techy Rachel, un'influencer di lingua inglese che di solito pubblica post sulla tecnologia e sulle innovazioni cinesi, sceglie di cambiare argomento per intervenire nel dibattito sul pallone spia cinese. Come altri organi di stampa statali cinesi, anche lei nega che il pallone fosse usato per motivi di spionaggio. Scopri di più su questa immagine a pagina 8 del report completo

Gli influencer raggiungono un pubblico globale in almeno 40 lingue

La distribuzione geografica delle lingue parlate da questi influencer affiliati allo stato rappresenta la crescente influenza globale e prioritizzazione regionale della Cina. Gli influencer che parlano lingue asiatiche escluso il cinese (come hindi, sinhala, pashto, lao, coreano, malese e vietnamita) formano il più grande gruppo di influencer. Gli influencer di lingua inglese costituiscono il secondo gruppo più grande di influencer.
Cinque grafici a torta che rappresentano gli influencer dei media statali cinesi suddivisi per lingua.
Figura 7: Influencer dei media statali cinesi suddivisi per lingua. Scopri di più su questa immagine a pagina 9 del report completo

Pubblico target della Cina a livello mondiale

Gli influencer si rivolgono a sette aree di pubblico (raggruppamenti linguistici) separate in aree geografiche. Nessun grafico mostrato per le aree di pubblico di lingua cinese o inglese.

Le operazioni di influenza cinesi espandono la copertura globale in diverse campagne

La Cina ha ampliato ulteriormente la portata delle sue operazioni di influenza online nel 2023 raggiungendo gruppi di pubblico in nuove lingue e su nuove piattaforme. Queste operazioni combinano un apparato di media statali dichiarati altamente controllati con asset di social media occulti o offuscati, tra cui bot, che ripuliscono e amplificano le narrazioni preferite del PCC.17

Microsoft ha osservato una campagna di questo tipo allineata al PCC, a partire da gennaio 2022 e tuttora in corso al momento della redazione del presente articolo, rivolta all'organizzazione non governativa spagnola Safeguard Defenders dopo che questa aveva segnalato l'esistenza di più di 50 stazioni di polizia cinesi nel mondo.18 Questa campagna ha sfruttato più di 1800 account su diverse piattaforme di social media e decine di siti Web per diffondere meme, video e messaggi allineati al PCC che criticavano gli Stati Uniti e altre democrazie.

Questi account comunicavano in nuove lingue (olandese, greco, indonesiano, svedese, turco, uiguro, ecc.) e su nuove piattaforme (tra cui Fandango, Rotten Tomatoes, Medium, Chess.com e VK, per citare solo qualche esempio). Nonostante la portata e la persistenza di questa operazione, i suoi post raramente ottengono interazioni significative da utenti autentici, cosa che evidenzia la natura rudimentale dell'attività di queste reti cinesi.

Una serie di 30 loghi di tecnologie famose presentata insieme a un elenco di 16 lingue
Figura 8: Contenuti di operazioni di influenza in linea con il PCC sono stati rilevati su molte piattaforme e in molte lingue. Scopri di più su questa immagine a pagina 10 del report completo
Esempi di screenshot affiancati di propaganda tramite video in lingua taiwanese.
Figura 9: Elevato numero di condivisioni di post di una videochiamata in lingua taiwanese in cui si chiede al governo di Taiwan di "arrendersi" a Pechino. La grande differenza tra impression e condivisioni è altamente indicativa delle attività delle operazioni di influenza coordinate. Scopri di più su questa immagine a pagina 10 del report completo

Una rete globale nascosta formata da siti Web di notizie del PCC

Un'altra campagna basata su contenuti multimediali che dimostra l'ampia portata delle operazioni di influenza affiliate al PCC è una rete di più di 50 siti Web di notizie soprattutto in lingua cinese che supportano l'obiettivo dichiarato del PCC, ovvero quello di essere la voce autorevole di tutti i media in lingua cinese a livello mondiale.19 Pur presentandosi come siti Web non affiliati e indipendenti che soddisfano le necessità di diverse comunità di emigrati cinesi su scala globale, possiamo affermare con una certa sicurezza che questi siti Web sono affiliati al Dipartimento di Lavoro del Fronte Unito (DLFU), un organo responsabile del rafforzamento dell'influenza del PCC oltre i confini della Cina (soprattutto cooperando con i "Cinesi d'oltremare"), sulla base di indicatori tecnici, informazioni sulla registrazione dei siti Web e contenuti condivisi.20
Planisfero con più di 20 loghi di siti Web cinesi relativi alla diaspora cinese globale.
Figura 10: Mappa di siti Web relativi alla diaspora cinese globale ritenuti parte di questa strategia multimediale.  Scopri di più su questa immagine a pagina 11 del report completo

Molti di questi siti condividono gli indirizzi IP, quindi eseguire query sulle risoluzioni dei domini con Microsoft Defender Threat Intelligence ci ha consentito di scoprire altri siti nella rete. Molti di questi siti Web hanno lo stesso codice HTML Web front-end, e anche i commenti degli sviluppatori Web incorporati nel codice sono spesso identici tra siti Web diversi. Più di 30 di questi siti sfruttano la stessa API (Application Programming Interface) e lo stesso sistema di gestione dei contenuti di una "società interamente controllata" di China News Service (CNS), l'agenzia di stampa del DLFU.21 Da registri del Ministero dell'industria e dell'informatica della Cina è emerso che questa società tecnologica affiliata al DLFU e un'altra hanno registrato almeno 14 siti di notizie in questa rete.22 Usando controllate e media di terze parti in questo modo, il DLFU può raggiungere un pubblico globale tenendo nascosto il suo coinvolgimento diretto.

Questi siti Web sostengono di essere provider di notizie indipendenti, mentre ripubblicano spesso gli stessi articoli di media statali cinesi, spesso dichiarando di essere la fonte originale dei contenuti. Questi siti trattano ampiamente notizie internazionali e pubblicano articoli dei media statali cinesi generici, ma nella stragrande maggioranza dei casi gli argomenti politicamente delicati sono in linea con le narrazioni preferite del PCC. Ad esempio, diverse centinaia di articoli in questa rete di siti Web promuovono false notizie secondo cui il virus di COVID-19 è un'arma biologica creata presso il laboratorio di ricerca biologica militare degli Stati Uniti a Fort Detrick.23 Inoltre, questi siti diffondono spesso dichiarazioni di autorità cinesi e articoli di agenzie statali che affermano che il virus di COVID-19 è nato negli Stati Uniti e non in Cina. Questi siti Web esemplificano quanto il controllo del PCC abbia pervaso l'ambiente giornalistico di lingua cinese, consentendo al Partito di sovrastare i report critici di argomenti sensibili.

Diagramma di articoli sovrapposti pubblicati da più siti.
Figura 11: I siti Web si presentano come unici a livello di posizione ma condividono contenuti identici. Questo diagramma mostra articoli sovrapposti pubblicati da più siti. Scopri di più su questa immagine a pagina 12 del report completo
Screenshot di come un articolo di China News Service è stato ripubblicato su siti Web rivolti al pubblico in Italia, Ungheria, Russia e Grecia
Figura 12: China News Service e altri media statali cinesi hanno pubblicato un articolo intitolato "Dichiarazione della OMS indica la presenza di laboratori biologici americani nascosti in Ucraina". Questo articolo è stato quindi pubblicato su siti Web rivolti al pubblico in Ungheria, Svezia, Africa occidentale e Grecia. Scopri di più su questa immagine a pagina 12 del report completo

Copertura globale dei media statali cinesi

Mentre la peculiarità della campagna descritta in precedenza è l'offuscamento, i siti Web dei media statali cinesi in buona fede rappresentano la grande maggioranza di visualizzazioni globali dei media diretti da PCC. Espandendosi in lingue straniere,24 aprendo sedi di media statali cinesi all'estero25 e fornendo interessanti contenuti gratuiti pro Pechino26, il PCC estende la copertura del proprio "potere del discorso" (话语权) inserendo la propaganda negli organi di stampa dei Paesi di tutto il mondo.27
Un organigramma che rappresenta uno snapshot dell'ecosistema di propaganda occulta del PCC.
Figura 13: Organigramma che rappresenta uno snapshot delle funzioni e delle entità che fanno parte dell'ecosistema di propaganda occulta del PCC. Scopri di più su questa immagine a pagina 13 del report completo

Misurazione del traffico verso i siti Web di media statali cinesi

AI for Good Lab di Microsoft ha sviluppato un indice per misurare il flusso del traffico dagli utenti al di fuori della Cina alle agenzie controllate a maggioranza dal governo cinese. L'indice misura la proporzione del traffico di utenti che visitano questi siti rispetto al traffico generale su Internet, come l'Indice di propaganda russo (RPI, Russian Propaganda Index) introdotto nel giugno 2022.28

Per quanto riguarda l'utilizzo dei media statali cinesi, i domini principali sono cinque, totalizzando il 60% circa di tutte le visualizzazioni delle pagine dei media statali cinesi.

Grafico che mostra l'utilizzo dei media cinesi
Scopri di più su questa immagine a pagina 14 del report completo

L'indice è in grado di illustrare le tendenze nel successo relativo degli organi di stampa statali cinesi a livello geografico nel tempo. Ad esempio, tra gli stati membri dell'Associazione delle Nazioni del Sud-est asiatico (ASEAN), Singapore e Laos spiccano con più del doppio del traffico relativo per i siti Web dei media statali cinesi, con il Brunei al terzo posto. Le Filippine si trovano all'ultimo posto, con 30 volte meno traffico per i siti Web dei media statali cinesi rispetto a Singapore e Laos. A Singapore, dove la lingua ufficiale è il mandarino, l'elevato consumo dei media statali cinesi rispecchia l'influenza della Cina sulle notizie in mandarino. In Laos, le persone che parlano cinese sono decisamente meno, il che riflette il successo relativo dei media statali cinesi nell'ambiente del Paese.

Screenshot della home page del dominio più visitato, PhoenixTV.
Figura 14: Home page del dominio più visitato, PhoenixTV, con il 32% di tutte le visualizzazioni delle pagine. Scopri di più su questa immagine a pagina 14 del report completo

Operazioni informatiche nordcoreane sempre più sofisticate raccolgono informazioni e generano ricavi per lo stato

Gli attori di minacce della Corea del Nord perseguono operazioni informatiche con lo scopo di (1) raccogliere informazioni sulle attività dei Paesi ritenuti nemici dello stato (Corea del Sud, Stati Uniti e Giappone), (2) raccogliere informazioni sulle capacità militari di altri Paesi per migliorare le proprie, e (3) raccogliere fondi in criptovalute per lo stato. Nell'ultimo anno, Microsoft ha riscontrato maggiori sovrapposizioni di targeting tra diversi attori di minacce della Corea del Nord e una maggiore sofisticazione dei gruppi di attività della Corea del Nord.

Le priorità informatiche della Corea del Nord enfatizzano la ricerca relativa alle tecnologie marittime nell'ambito dei test di veicoli e droni sottomarini

Nell'ultimo anno, Microsoft Threat Intelligence ha rilevato maggiori sovrapposizioni di targeting tra i vari attori di minacce nordcoreani. Ad esempio, tre attori di minacce nordcoreani, cioè Ruby Sleet (CERIUM), Diamond Sleet (ZINC) e Sapphire Sleet (COPERNICIUM), hanno colpito il settore marittimo e cantieristico da novembre 2022 a gennaio 2023. Microsoft non aveva mai riscontrato prima questo livello di sovrapposizioni di targeting tra più gruppi di attività nordcoreani, il che fa pensare che la ricerca relativa alla tecnologia marittima fosse una priorità importante per il governo della Corea del Nord in quel periodo. A marzo 2023, la Corea del Nord ha ripetutamente testato due missili da crociera strategici da un sottomarino verso il Mar del Giappone (detto anche Mare dell'Est) come avvertimento per l'esercitazione militare Freedom Shield tra la Corea del Sud e gli Stati Uniti. A fine marzo e nei mesi successivi, secondo quanto riportato, la Corea del Nord ha testato due droni d'attacco sottomarino Haeil al largo della sua costa orientale verso il Mar del Giappone. Questi test delle capacità militari marittime si sono verificati poco dopo che tre gruppi di hacker nordcoreani hanno colpito entità della difesa marittima per la raccolta di informazioni.

Gli attori di minacce compromettono aziende che operano nel settore della difesa mentre il regime nordcoreano stabilisce obiettivi di raccolta dei dati con priorità elevata

Da novembre 2022 a gennaio 2023, Microsoft ha riscontrato un secondo caso di sovrapposizioni di targeting, con l'attacco di Ruby Sleet e Diamond Sleet contro aziende che si occupano di difesa. I due attori di minacce hanno compromesso due aziende produttrici di armi con sede in Germania e in Israele. Questo suggerisce che il governo della Corea del Nord sta ingaggiando più gruppi di attori di minacce contemporaneamente per perseguire gli obiettivi di raccolta dei dati con priorità elevata al fine di migliorare le capacità militari del Paese. Da gennaio 2023, Diamond Sleet ha compromesso anche società di difesa in Brasile, Repubblica Ceca, Finlandia, Italia, Norvegia e Polonia.
Grafico a torta che mostra le industrie della difesa più colpite dalla Corea del Nord in vari Paesi
Figura 15: La Corea del Nord colpisce il settore della difesa di diversi Paesi, da marzo 2022 a marzo 2023

Le industrie della difesa e il governo della Russia continuano a essere dei target della raccolta di informazioni da parte della Corea del Nord

Di recente, molti attori di minacce nordcoreani hanno colpito il settore della difesa e il governo della Russia, continuando però a fornire supporto materiale alla Russia nella sua guerra in Ucraina.32 A marzo 2023, Ruby Sleet ha compromesso un istituto di ricerca aerospaziale in Russia. Inoltre, Onyx Sleet (PLUTONIUM) ha compromesso un dispositivo appartenente a un'università in Russia all'inizio di marzo. Separatamente, nello stesso mese un account di un utente malintenzionato attribuito a Opal Sleet (OSMIUM) ha inviato email di phishing ad account appartenenti a enti governativi diplomatici russi. Gli attori di minacce nordcoreani possono sfruttare l'opportunità di condurre una raccolta di informazioni sulle entità russe per via dell'attenzione del Paese rivolta alla sua guerra in Ucraina.

I gruppi della Corea del Nord mostrano operazioni più sofisticate tramite il furto di criptovalute e attacchi alla catena di approvvigionamento

Secondo Microsoft, i gruppi di attività della Corea del Nord stanno conducendo operazioni sempre più sofisticate tramite il furto di criptovalute e attacchi alla catena di approvvigionamento. Nel gennaio 2023, il Federal Bureau of Investigation (FBI) ha attribuito pubblicamente il furto di 100 milioni di USD in criptovalute dall'Harmony’s Horizon Bridge nel mese di giugno 2022 a Jade Sleet (DEV-0954), alias Lazarus Group/APT38.33 Microsoft ha attribuito l'attacco alla catena di approvvigionamento 3CX di marzo 2023 a Citrine Sleet (DEV-0139), che ha sfruttato una precedente compromissione della catena di approvvigionamento di una società di tecnologia finanziaria con sede negli Stati Uniti nel 2022. È stata la prima volta che Microsoft ha rilevato un gruppo di attività che sfrutta una compromissione della catena di approvvigionamento esistente per condurre un altro attacco alla catena di approvvigionamento, a dimostrazione della crescente sofisticatezza delle operazioni informatiche nordcoreane.

Emerald Sleet impiega una tattica di spear phishing comprovata per indurre gli esperti a rispondere con dati analitici sulle politiche straniere

Emerald Sleet (THALLIUM) rimane l'attore di minacce nordcoreano più attivo che Microsoft ha monitorato nell'ultimo anno. Emerald Sleet continua a inviare frequenti email di spear phishing a esperti della penisola coreana a livello mondiale per motivi di raccolta della informazioni. A dicembre 2022, Microsoft Threat Intelligence ha fornito dettagli sulle campagne di phishing di Emerald Sleet rivolte a influenti esperti della Corea del Nord negli Stati Uniti e nei Paesi alleati agli USA. Anziché distribuire file dannosi o link a siti Web dannosi, Microsoft ha scoperto che Emerald Sleet adotta una tattica unica: spacciarsi per rispettabili istituzioni accademiche e ONG per indurre le vittime a rispondere con dati analitici e commenti di esperti sulle politiche straniere in relazione alla Corea del Nord.

Capacità: influenza

La Corea del Nord ha condotto operazioni di influenza limitate sulle piattaforme di social media basate sulla condivisione di video, come YouTube e TikTok, nell'ultimo anno.34 Gli influencer nordcoreani su YouTube sono perlopiù ragazze e donne, anche di appena undici anni, che pubblicano vlog sulla loro vita quotidiana e promuovono narrazioni positive sul regime. Alcuni influencer parlano in inglese nei loro video, con l'intenzione di raggiungere un pubblico globale più ampio. Gli influencer della Corea del Nord sono meno efficaci di quelli coinvolti nell'iniziativa dei media statali cinesi.

Guardare al futuro man mano che le tensioni geopolitiche alimentano le attività informatiche e le operazioni di influenza

Negli ultimi anni la Cina ha continuato a espandere le proprie capacità informatiche e ha mostrato una maggiore ambizione nelle proprie campagne di operazioni informatiche. Nel breve termine, la Corea del Nord vuole rimanere concentrata sui target correlati ai propri interessi politici, economici e di difesa nell'area geografica. Possiamo aspettarci uno spionaggio informatico più ampio sia contro gli oppositori che contro i sostenitori degli obiettivi geopolitici del PCC in ogni continente. Mentre i gruppi di hacker in Cina continuano a sviluppare e utilizzare capacità informatiche impressionanti, non risulta che la Cina stia combinando operazioni informatiche e di influenza, a differenza di Iran e Russia (che stanno attuando campagne hack-and-leak).

Con una portata neanche lontanamente raggiunta da altri attori di influenza maligna, gli attori di influenza allineati alla Cina sfrutteranno al meglio diverse tendenze ed eventi chiave nei prossimi sei mesi.

In primo luogo, le operazioni che fanno uso di video e immagini stanno diventando la normalità. Le reti affiliate al PCC si servono da molto tempo di immagini di profilo generate dall'intelligenza artificiale e quest'anno hanno adottato questa tecnica anche per i meme. Inoltre, gli attori statali continueranno ad attingere a studi di contenuti privati e società di pubbliche relazioni per esternalizzare la propaganda su richiesta.35

In secondo luogo, la Cina continuerà a cercare il coinvolgimento del pubblico autentico, investendo tempo e risorse in asset di social media curati. Gli influencer con grandi conoscenze culturali e linguistiche e i contenuti video di qualità elevata sono stati la base del successo delle interazioni sui social media. Il PCC applicherà alcune di queste tattiche, ad esempio interagendo con gli utenti sui social media e mostrando competenze culturali, per rafforzare le proprie campagne occulte sui social media.

In terzo luogo, Taiwan e gli Stati Uniti probabilmente resteranno le due priorità principali delle operazioni di influenza cinesi, soprattutto con le prossime elezioni del 2024. Dato che gli attori di influenza allineati al PCC hanno preso di mira le elezioni degli USA nel recente passato, è quasi certo che lo faranno di nuovo. Gli asset di social media che fingono di essere elettori statunitensi probabilmente mostreranno un livello più alto di sofisticazione, seminando attivamente tensioni a livello etnico, socioeconomico e ideologico con contenuti che criticano aspramente gli Stati Uniti.

  1. [2]

    Nuove basi nelle Filippine aumentano la presenza militare degli Stati Uniti nella regione, https://go.microsoft.com/fwlink/?linkid=2262254

  2. [3]

    Attualmente, non ci sono prove sufficienti del legame tra i gruppi.

  3. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; queste statistiche riflettono i dati al mese di aprile del 2023.
  4. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; talvolta questi attori di influenza sono conosciuti come "Spamouflage Dragon" o "DRAGONBRIDGE".
  5. [20]

    Vedi: framework del Microsoft Threat Analysis Center per l'attribuzione delle campagne di influenza. https://go.microsoft.com/fwlink/?linkid=2262095; il governo cinese definisce diaspora cinese i "Cinesi d'oltremare" o 华侨 (huaqiao), riferendosi alle persone con cittadinanza o eredità cinese che risiedono al di fuori della Repubblica Popolare Cinese. Per altri dettagli sull'interpretazione di Pechino della diaspora cinese, vedi: https://go.microsoft.com/fwlink/?linkid=2262777

  6. [23]

    Il governo cinese ha diffuso questa narrazione all'inizio della pandemia di COVID-19, vedi: https://go.microsoft.com/fwlink/?linkid=2262170; i siti Web in questa rete che promuovono queste dichiarazioni includono: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  7. [28]

    Difesa dell'Ucraina: prime lezioni dalla guerra informatica, https://go.microsoft.com/fwlink/?linkid=2262441

  8. [30]

    Un'altra interpretazione di xuexi qiangguo è "Study Xi, Strengthen the Country". Il nome è un gioco di parole con quello di Xi Jinping. Governi, università e aziende in Cina promuovono molto l'uso dell'app, a volte disonorando o punendo i subordinati che non la usano regolarmente, vedi: https://go.microsoft.com/fwlink/?linkid=2262362

  9. [31]

    La rivista è di proprietà di Shanghai United Media Group, che a sua volta è di proprietà del Comitato del Partito comunista di Shanghai: https://go.microsoft.com/fwlink/?linkid=2262098

  10. [35]

    In precedenza, il PCC ha investito in aziende private che sostengono le campagne di operazioni di influenza attraverso tecniche di manipolazione di SEO, falsi Mi piace e follower e altri servizi. Documenti di gara rivelano tali iniziative, vedi: https://go.microsoft.com/fwlink/?linkid=2262522

Articoli correlati

Volt Typhoon attacca l'infrastruttura critica statunitense con tecniche Living off the Land

È stato riscontrato che Volt Typhoon, l'attore di minacce sponsorizzato dallo stato cinese, utilizza tecniche clandestine per attaccare l'infrastruttura critica statunitense, fare spionaggio e introdursi in ambienti compromessi.

Propaganda nell'era digitale: come le operazioni di influenza informatica erodono la fiducia

Esamina il mondo delle operazioni di influenza informatica, in cui gli attacchi stato-nazione distribuiscono messaggi di propaganda pensati per minacciare l'attendibilità delle informazioni che la democrazia richiede per prosperare.

L'Iran si sta rivolgendo a operazioni informatiche di influenza per un maggiore effetto

Microsoft Threat Intelligence ha svelato maggiori operazioni informatiche di influenza in uscita dall'Iran. Ottieni dettagli sulle minacce delle nuove tecniche e dove esiste la possibilità di future minacce.

Segui Microsoft Security