Trace Id is missing

Digitale trusler fra Øst-Asia øker i omfang og effektivitet

Last ned
Del
En person sitter foran en datamaskin

Innledning

En rekke fremvoksende trender illustrerer et trussellandskap som endrer seg raskt, på tvers av Øst-Asia med Kina som gjennomfører både omfattende cyber- og påvirkningsoperasjoner (IO), og nordkoreanske cybertrusselaktører som viser økt kompleksitet.

For det første har kinesiske statstilknyttede cybertrusselgrupper hatt særlig fokus på Sør-Kina-området, og rettet cyberspionasje mot offentlige myndigheter og andre kritiske instanser som omringer dette maritime området. Samtidig forsøker Kinas målretting mot den amerikanske forsvarsektoren og testing av amerikanske infrastruktursignaler å oppnå konkurransedyktige fordeler for Kinas utenrikspolitiske relasjoner og strategiske militære mål.

For det andre har Kina blitt mer effektiv når det gjelder å engasjere brukere av sosiale medier med IO det siste året. Kinesiske nettbaserte påvirkningskampanjer har lenge vært avhengig av store volum for å nå brukere gjennom nettverk av uekte sosiale mediekontoer. Siden 2022 har Kina-tilpassede sosiale medienettverk kommunisert direkte med ekte brukere på sosiale medier, og rettet seg mot spesifikke kandidater når det gjelder innhold om valg i USA, og gitt seg ut for å være amerikanske velgere. Kinas statstilknyttede flerspråklige påvirkerinitiativ på sosiale medier har lykkes med å engasjere målgrupper på minst 40 språk og økt målgruppen til over 103 millioner.

For det tredje har Kina fortsatt å oppskalere IO-kampanjene det siste året, og utvidet arbeidet til nye språk og nye plattformer skal øke sitt globale fotavtrykk. På sosiale medier distribuerer kampanjer tusenvis av uekte kontoer på tvers av dusinvis av nettsteder, og sprer memer, videoer og meldinger på flere språk. I nettbaserte nyhetsmedier er kinesisk-statlige medier taktfulle og effektive i posisjoneringen av seg selv som offisiell stemme i internasjonal diskurs om Kina, og bruker en rekke midler for å utøve påvirkning i mediekanaler verden over. Én kampanje presset propaganda fra det kinesiske kommunistpartiet (CCP) via lokaliserte nyhetsnettsteder rettet mot den kinesiske diaspora i mer enn 35 land.

Til slutt – Nord-Korea, til forskjell fra Kina som mangler egenskaper som kompleks påvirkningsaktør, forblir en skremmende cybertrussel. Nord-Korea har vist en kontinuerlig interesse i innsamling av informasjon og økende taktisk kompleksitet ved å utnytte kaskaderende forsyningskjedeangrep og kryptovalutatyveri, blant andre taktikker.

Kinas cyberoperasjoner fornyer fokuset på Sør-Kina-havet og viktige industrier i USA

Siden starten av 2023 har Microsoft trusselinformasjon identifisert tre områder med særlig fokus på Kinas statstilknyttede cybertrusselaktører: Sør-Kina-havet, den industrielle basen til det amerikanske forsvaret, og den kritiske amerikanske infrastrukturen.

Kinesisk statssponset målretting reflekterer strategiske mål i Sør-Kina-havet

Kinesiske statstilknyttede trusselaktører viser fortsatt interesse i Sør-Kina-havet og Taiwan, noe som gjenspeiler Kinas brede spekter av økonomiske, forsvarsrelaterte og politiske interesser i dette området..1 Motstridende territoriale krav, stigende spenning i Kina-Taiwan-konflikten, og en økt tilstedeværelse av amerikansk militære kan alle være motivasjoner for Kinas offensive cyberaktiviteter.2

Microsoft har sporet Raspberry Typhoon (RADIUM) som primær trusselgruppe som retter seg mot land som omringer Sør-Kina-havet. Raspberry Typhoon retter seg kontinuerlig mot myndighetsdepartementer, militære instanser og bedriftsenheter koblet til kritisk infrastruktur, særlig telekommunikasjon. Siden januar 2023 har Raspberry Typhoon vært spesielt utholdende. Ved målretting mot myndighetsdepartementer eller infrastruktur, utfører Raspberry Typhoon vanligvis innsamling av informasjon og bruk av skadelig programvare. I mange land varierer målene fra forsvars- og informasjonstilknyttede departementer til økonomiske og handelstilknyttede departementer.

Flax Typhoon (Storm-0919) er den mest fremtredende trusselgruppen som retter seg mot øya Taiwan. Denne gruppen retter seg primært mot telekommunikasjons-, utdannings-, informasjonsteknologi-, og energiinfrastruktur, vanligvis ved å utnytte et tilpasset VPN-utstyr for å etablere en direkte tilstedeværelse i målnettverket. På samme måte retter Charcoal Typhoon (CHROMIUM) seg mot taiwanske utdanningsinstitusjoner, energiinfrastruktur og høyteknologisk produksjon. I 2023 rettet både Charcoal Typhoon og Flax Typhoon seg mot taiwanske luftfartsinstanser som hadde kontrakt med taiwansk militære.

Kart over området rundt Sør-Kina-havet med observerte hendelser per land uthevet
Figur 1: Observerte hendelser per land i Sør-Kina-havet fra januar 2022 til april 2023. Mer informasjon om dette bildet på side 4 i den fullstendige rapporten

Kinesiske trusselaktører vender oppmerksomheten mot Guam idet USA bygger en marineinfanteribase

Flere Kina-baserte trusselgrupper fortsetter å rette seg mot den industrielle basen til det amerikanske forsvaret, nemlig Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) og Mulberry Typhoon (MANGANESE). Selv om målene til disse tre gruppene av og til overlapper, er de distinkte aktører med ulik infrastruktur og funksjon.3

Circle Typhoon gjennomfører et bredt spekter av cyberaktivitet mot den industrielle basen til det amerikanske forsvaret, inkludert ressursutvikling, innsamling, innledende tilgang og legitimasjonstilgang. Circle Typhoon utnytter ofte VPN-utstyr for å rette seg mot IT og USA-baserte forsvarsleverandører. Volt Typhoon har også gjennomført rekognosering mot en rekke leverandører for det amerikanske forsvaret. Guam er ett av de hyppigste målene til disse kampanjene, særlig satelittkommunikasjons- og telekommunikasjons-instanser befinner seg der.4

En hyppig taktikk Volt Typhoon bruker, involverer å kompromittere små kontor- og hjemmerutere, vanligvis med det formål å bygge infrastruktur.5 Mulberry Typhoon har også rettet seg mot den industrielle basen til det amerikanske forsvaret, spesielt med en nulldagsutnyttelse som retter seg mot enheter.6 Økt målretting av Guam er betydelig med tanke på posisjonen som nærmeste amerikanske territorium til Øst-Asia og viktig for amerikansk strategi i området.

Kinesiske trusselgrupper retter seg mot kritisk infrastruktur i USA

Microsoft har observert at kinesiske statstilknyttede trusselgrupper retter seg mot kritisk infrastruktur i USA på tvers av flere sektorer og betydelig ressursutvikling de siste seks månedene. Volt Typhoon har vært den primære gruppen bak denne aktiviteten siden sommeren 2021, og omfanget av denne aktiviteten er fremdels ikke helt kjent.

Målrettede sektorer omfatter transport (som havner og jernbane), forsyningstjenester (som energi og vannbehandling), medisinsk infrastruktur (inkludert sykehus) og telekommunikasjonsinfrastruktur (inkludert satelittkommunikasjon og fiberoptiske systemer). Microsoft vurderer at denne kampanjen kan gi Kina funksjoner som kan avbryte kritisk infrastruktur og kommunikasjon mellom USA og Asia.7

Kina-baserte trusselgrupper retter seg mot omtrent 25 organisasjoner, inkludert amerikanske myndighetsinstanser

Fra og med 15. mai brukte Storm-0558, en Kina-basert trusselaktør, forfalskede godkjenningstokener for å få tilgang til Microsofts kunde-e-postkontoer for omtrent 25 organisasjoner, inkludert amerikanske og europeiske myndighetsinstanser.8 Microsoft har lykkes i å blokkere denne kampanjen. Målsettingen til dette angrepet var å oppnå uautorisert tilgang til e-postkontoer. Microsoft Corporation vurderer at denne aktiviteten var konsistent med Storm-0558s spionasjemålsettinger. Storm-0558 har tidligere rettet seg mot amerikanske og europeiske diplomatiske instanser.

Kina retter seg også mot sine strategiske partnere

Etter hvert som Kina har utviklet bilaterale relasjoner og globale partnerskap gjennom Belte-vei-initiativet (BRI), har kinesiske statstilknyttede trusselaktører gjennomført parallelle cyberoperasjoner mot private og offentlige enheter rundt om i verden. Kina-baserte trusselgrupper retter seg mot land som er på linje med CCPs BRI-strategi, herunder enheter i Kasakhstan, Namibia, Vietnam og flere.9 Samtidig retter omfattende kinesisk trusselaktivitet seg konsekvent mot utenriksdepartementer gjennom hele Europa, Latin-Amerika, og Asia – sannsynligvis på jakt etter økonomisk spionasje eller informasjonsinnsamlingsmål.10 Etter hvert som Kina utvider den globale påvirkningen, følger tilknyttede trusselgruppeaktiviteter etter. Så nylig som i april 2023 kompromitterte Twill Typhoon (TANTALUM) myndighetsmaskiner i Afrika og Europa, i tillegg til humanitære organisasjoner i hele verden.

CCP-tilpassede sosiale medieoperasjoner øker det effektive målgruppeengasjementet

CCP-tilknyttede skjulte påvirkningsoperasjoner har nå begynt å kommunisere med målgrupper på sosiale medier i mye større grad enn det som er observert tidligere, og representerer høyere nivå av kompleksitet og kultivering av nettbaserte IO-ressurser. Før mellomvalget i USA i 2022 observerte Microsoft- og bransjepartnere at CCP-tilknyttede sosiale mediekontoer etterlignet amerikanske velgere – nytt territorium for CCP-tilknyttet IO.11 Disse kontoene ga seg ut for å være amerikanere på tvers av det politiske spekteret og svarte på kommentarer fra autentiske brukere.

Med både atferd og innhold viser disse kontoene mange veldokumenterte kinesiske IO-taktikker, -teknikker og -prosedyrer (TTP-er). Eksempler omfatter: kontoer som legger ut innhold på mandarin i tidlige stadier før de bytter til et annet språk, og engasjerer seg i innholdet fra andre Kina-tilpassede ressurser umiddelbart etter de har lagt det ut, og bruker et «seed and amplifier»-mønster i samhandlingen.12Til forskjell fra tidligere IO-kampanjer fra CCP-tilknyttede aktører som brukte datagenererte brukernavn, visningsnavn og profilbilder13 drives disse mer komplekse kontoene av ekte mennesker som bruker fiktive eller stjålne identiteter for å skjule kontoenes tilknytning til CCP.

Sosiale mediekontoer i dette nettverket viser liknende atferd til aktivitet, angivelig gjennomført av en elitegruppe i Ministry of Public Security (MPS) kalt 912 Special Working Group. I henhold til det amerikanske justisdepartementet drev gruppen en trollfabrikk på sosial medier som lagde tusenvis av falske nettbaserte figurer, og presset CCP-propaganda som rettet seg mot prodemokratiske aktivister.

Siden omtrent mars 2023 har noen mistenkte kinesiske IO-ressurser på vestlige sosiale medier begynt å utnytte generativ kunstig intelligens (KI) for å lage visuelt innhold. Dette visuelle innholdet med relativt høy kvalitet har allerede gjort autentiske brukere av sosiale medier mer engasjerte. Disse bildene bærer preg av diffusjonsstyrt bildegenerering og er mer iøynefallende enn det klønete visuelle innholdet i tidligere kampanjer. Brukere har oftere lagt ut disse visualobjektene, til tross for vanlige indikatorer for generering av kunstig intelligens –for eksempel mer enn fem fingre på en persons hånd.14

Innlegg på sosiale medier side ved side som viser identiske Black Lives Matter-bilder.
Figur 2: En Black Lives Matter-grafikk som først ble lastet opp av en CCP-tilknyttet automatisk konto ble deretter lastet opp av en konto som ga seg ut for å være en amerikansk konservativ-velger syv timer senere.
Et propagandabilde generert av kunstig intelligens av Frihetsgudinnen.
Figur 3: Eksempel på et bilde generert av kunstig intelligens som ble lagt ut av en mistenkt kinesisk IO-ressurs. Frihetsgudinnens hånd som holder fakkelen, har mer enn fem fingre. Mer informasjon om dette bildet på side 6 i den fullstendige rapporten.
Matrise med fire påvirkerkategorier – journalister, livsstilspåvirkere, likesinnede og etniske minoriteter – i en serie som strekker seg fra åpenlyst til skjult
Figur 4: Dette initiativet omfatter påvirkere som faller i fire brede kategorier basert på bakgrunns-, målgruppe-, rekrutterings- og administrasjonsstrategier. Alle enkeltpersoner som er inkludert i analysen, har direkte tilknytning til kinesisk-statlige medier (for eksempel gjennom ansettelse, godkjenning av reiseinvitasjoner eller annen økonomisk utveksling). Mer informasjon om dette bildet på side 7 i den fullstendige rapporten.

Det kinesisk-statlige mediepåvirkerinitiativet

En annen strategi som trekker meningsfylt engasjement på sosiale medier, er CCPs konsept «flerspråklige Internett-kjendisstudioer» (多语种网红工作室).15 Mer enn 230 statlige medieansatte og partnere utnytter kraften i autentiske stemmer, og utgir seg for å være uavhengige sosiale mediepåvirkere på tvers av alle store vestlige sosiale medieplattformer.16 I 2022 og 2023 fortsetter nye påvirkere å debutere hver 7. uke i gjennomsnitt. Disse påvirkerne er rekruttert, promotert og betalt av China Radio International (CRI) og andre kinesiske medieforetak og sprer fagmessig lokalisert CCP-propaganda som oppnår meningsfylt kommunikasjon med målgrupper rundt om i verden, og når følgere på minst 103 millioner totalt, på tvers av flere plattformer, og som snakker minst 40 språk.

Selv om påvirkere for det meste legger ut harmløst livsstilsinnhold, kamuflerer denne teknikken CCP-tilpasset propaganda som prøver å mildne fremstillingen av Kina i utlandet.

Kinesisk-statlige mediers påvirkerrektrutteringsstrategi later til å registrere to distinkte grupper med personer: de med bakgrunn innen journalistikkarbeid (særlig i statlige mediekanaler) og nye akademikere i utenlandske språkprogrammer. Særlig China Media Group (morselskapet til CRI og CGTN) viser seg å direkte rekruttere akademikere i viktige kinesiske utenlandske språkskoler, som Beijing Foreign Studies University og Communication University of China. De som ikke rekrutteres direkte fra universiteter, er ofte tidligere journalister og oversettere, som fjerner eksplisitte indikatorer for statlig medietilknytning fra profilene sine, etter å ha gått over til å bli påvirkere.

Den laotisktalende påvirkeren Song Sian legger ut en livsstilsvideoblogg som diskuterer Kinas økonomiske gjennomretting midt i COVID-19-pandemien.
Figur 5: Den laotisktalende påvirkeren Song Sian legger ut en livsstilsblogg som diskuterer Kinas økonomiske gjennomretting midt i COVID-19-pandemien. I videoen han selv har filmet, besøker han en bilforhandler i Beijing og snakker med de lokale innbyggerne. Mer informasjon om dette bildet på side 8 i den fullstendige rapporten
Innlegg på sosiale medier av Techy Rachel, en engelskspråklig påvirker.
Figur 6: Techy Rachel, en engelskspråklig påvirker som vanligvis legger ut innhold om kinesiske innovasjoner og teknologi, avviker fra de vanlige temaene sine for å ta del i den kinesiske spionballong-debatten. På samme måte som andre kinesisk-statlige mediekanaler avviser hun at ballongen ble brukt til spionasje. Mer informasjon om dette bildet på side 8 i den fullstendige rapporten

Påvirkere når målgrupper i hele verden på minst 40 språk

Den geografiske distribusjonen av språk som snakkes av disse statstilknyttede påvirkerne representerer Kinas voksende globale påvirkning og regionale prioritering. Påvirkere som snakker asiatiske språk, inkludert kinesisk – slik som hindi, singalesisk, pasjto, laotisk, koreansk, malaysisk og vietnamesisk – utgjør det største antallet påvirkere. Engelsktalende påvirkere utgjør det nest største antallet påvirkere.
Fem sektordiagrammer som viser en oversikt over påvirkere i kinesiske statlige medier etter språk.
Figur 7: Oversikt over kinesisk-statlige mediepåvirkere etter språk. Mer informasjon om dette bildet på side 9 i den fullstendige rapporten

Kina retter seg mot målgrupper i hele verden

Påvirkere retter seg mot syv målgruppeområder (språkgrupperinger) som er delt inn i geografiske områder. Ingen diagrammer vises for engelsk- eller kinesiskspråklige målgruppeområder.

Kinesisk IO utvider det globale søket i flere kampanjer

Kina utvidet omfanget av nettbasert IO i 2023 ved å nå målgrupper på nye språk og på nye plattformer. Disse operasjonene kombinerer et svært kontroller åpenlyst statlig medieapparat med skjulte eller tilslørte sosiale medieressurser, inkludert roboter, som hvitvasker og styrker CCPs foretrukne historier.17

Microsoft observerte én slik CCP-tilpasset kampanje, som begynte i januar 2022 og pågikk da dette ble skrevet, som rettet seg mot den spanske ikke-statlige organisasjonen (NGO) Safeguard Defenders, etter den eksponerte eksistensen til mer enn 50 utenlandske kinesiske politistasjoner.18 Denne kampanjen distribuerte mer enn 1800 kontoer på tvers av flere sosiale medieplattformer og dusinvis av nettsteder for å spre CCP-tilpassede memer, videoer og meldinger som kritiserte USA og andre demokratier.

Disse kontoene sender meldinger på nye språk (gresk, indonesisk, nederlandsk, svensk, tysk, uyghur med flere) og på nye plattformer (inkludert Fandango, Rotten Tomatoes, Medium, Chess.com og VK, blant annet). På tross av omfanget og utholdenheten til denne operasjonen henter innleggene sjelden meningsfylt engasjement fra autentiske brukere, noe som fremhever den rudimentære aktiviteten til disse kinesiske nettverkene.

En matrise med 30 kjente logoer for teknologiske varemerker presentert sammen med en liste over 16 språk
Figur 8: CCP-tilpasset IO-innhold har blitt registrert på mange plattformer og på mange språk. Mer informasjon om dette bildet på side 10 i den fullstendige rapporten
Eksempler på side-ved-side-opptak av videopropaganda på taiwansk
Figur 9: Mange delinger av innlegg av en taiwanskspråklig videoanrop om taiwanske myndigheter som «overgir seg» til Beijing. Den store forskjellen mellom imitasjoner og delinger er svært indikativ på koordinert IO-aktivitet. Mer informasjon om dette bildet på side 10 i den fullstendige rapporten

Et anonymt nettverk med CCP-nyhetsnettsteder

En annen digital mediekampanje som illustrerer den utvidede bredden til CCP-tilknyttet IO, er et nettverk med mer enn 50 hovedsakelig kinesiskspråklige nyhetsnettsteder som støtter CCPs angitte mål om å være offisiell stemme for alle kinesiskspråklige medier verden over.19 Til tross for å utgi seg selv som svært uavhengige, utilknyttede nettsteder som legger til rette for ulike kinesiske diasporafellesskap rundt om i verden, vurderer vi med høy konfidens at disse nettstedene er tilknyttet CCPs Unified Front Work Department (UFWD) – et organ som er ansvarlig for å styrke CCPs påvirkning utover Kinas grenser: særlig ved å opprettholde kontakt med «kinesere i utlandet» – basert på tekniske indikatorer, informasjon om nettstedsregistrering, og delt innhold.20
Verdenskart med over 20 kinesiske nettstedslogoer for nettsteder som retter seg mot den globale kinesiske diasporaen.
Figur 10: Kart over nettsteder som retter seg mot den globale kinesiske diasporaen, som vurderes å være en del av denne mediestrategien.  Mer informasjon om dette bildet på side 11 i den fullstendige rapporten

Siden mange av disse nettstedene deler IP-adresser, gjorde spørring av domeneløsninger med Microsoft Defender trusselinformasjon det mulig å oppdage flere nettsteder i nettverket. Mange av nettstedene deler nettfront-HTML-kode, hvor til og med nettutviklerkommentarene som er innebygd i koden, ofte er identiske på tvers av ulike nettsteder. Mer enn 30 ulike nettsteder utnytter samme programmeringsgrensesnitt (API) og CMS fra et «heleid datterselskap» av China News Service (CNS), UFWDs mediebyrå.21 Arkiver fra China’s Ministry of Industry and Information Technology avdekker videre at dette UFWD-tilknyttede teknologiselskapet og et annet har registrert minst 14 nyhetsnettsteder i dette nettverket.22 Ved å bruke datterselskaper og tredjeparts medieselskaper på denne måten, kan UFWD nå en global målgruppe og samtidig skjule den direkte involveringen.

Disse nettstedene gir seg ut for å være uavhengige nyhetsleverandører og publiserer ofte de samme kinesisk-statlige medieartiklene, og påstår ofte å være den opprinnelige kilden til innholdet. Selv om nettstedene dekker store deler av internasjonale nyheter og publiserer generiske kinesisk-statlige artikler, tilpasses politisk sensitive temaer i høy grad til CCPs foretrukne historier. Flere hundre artikler i dette nettverket med nettsteder promoterer falske krav om at COVID-19-viruset er et biologisk våpen produsert på det biologiske forskningslaboratoriet til det amerikanske militæret, på Fort Detrick.23 Nettstedene sirkulerer også ofte uttalelser fra kinesiske statlige tjenestemenn og statlige medieartikler, som hevder at COVID-19-viruset oppstod i USA, og ikke i Kina. Disse nettstedene eksemplifiserer i hvilket omfang CCP-kontroll har dominert det kinesiskspråklige mediemiljøet, og lar partiet dekke over kritisk rapportering av sensitive temaer.

Kordediagram med overlappene artikler som er publisert av flere nettsteder.
Figur 11: Nettsteder presenteres som unike for sted, men deler identisk innhold. Dette kordediagrammet viser overlappende artikler som publiseres av flere nettsteder. Mer informasjon om dette bildet på side 12 i den fullstendige rapporten
Skjermbilder av hvordan en China News Service-artikkel ble publisert på nytt på tvers av nettsteder som retter seg mot målgrupper i Italia, Ungarn, Russland og Hellas
Figur 12: China News Service og andre kinesisk-statlige medier publiserte en artikkel kalt «Erklæring fra WHO eksponerer mørke amerikanske biolaboratorier i Ukraina». Denne artikkelen ble deretter publisert på tvers av nettsteder som retter seg mot målgrupper i Ungarn, Sverige, Vest-Afrika og Hellas. Mer informasjon om dette bildet på side 12 i den fullstendige rapporten

Kinesisk-statlige mediers globale rekkevidde

Selv om kampanjen som er beskrevet over, er viktig for sin tilsløring, utgjør kinesisk-statlige bona fide-medienettsteder de fleste globale visningene av CCP-rettede medier. Ved å utvide til fremmedspråk24 åpning av kinesisk-statlige mediebyråer i utlandet,25 og levere gratis Beijing-vennlig innhold,26 utvider CCP rekkevidden til «diskursevnen» (话语权) ved å injisere propaganda i nyhetsmediene til land rundt om i verden.27
Et organisasjonskart som representerer et øyeblikksbilde over det kinesiske kommunistpartiets åpenlyse propagandaøkosystem.
Figur 13: Organisasjonskart som representerer et øyeblikksbilde over funksjonene og enhetene som former en del av CCP-enes åpenlyste propagandaøkosystem. Mer informasjon om dette bildet på side 13 i den fullstendige rapporten

Måling av trafikk til kinesisk-statlige medienettsteder

Microsofts AI for Good Lab har utviklet en indeks for å måle trafikkflyten fra brukere utenfor Kina til kanaler som hovedsakelig eies av kinesiske myndigheter. Indeksen måler andelen trafikk på disse nettstedene, sammenlignet med den totale trafikken på Internett, som den russiske propagandaindeksen (RPI), som ble introdusert i juni 2022.28

Fem domener dominerer forbruket av kinesis-statlige medier, og står for omtrent 60 % av alle kinesisk-statlige mediesidevisninger.

Grafikk som viser forbruk av kinesiske medier
Mer informasjon om dette bildet på side 14 i den fullstendige rapporten

Indeksen kan belyse trender i den relative suksessen til kinesisk-statlige mediekanaler etter geografi over tid. For eksempel blant Association of Southeast Asian Nations (ASEAN) skiller Singapore og Laos seg ut med mer enn dobbelt så mye relativ trafikk til kinesisk-statlige nettsteder som tredjestørste Brunei. Filippinene har lavest rangering, med 30 x mindre trafikk til kinesisk-statlige medienettsteder enn Singapore og Laos. I Singapore hvor mandarin er et offisielt språk, gjenspeiler høyt forbruk av kinesisk-statlige medier Kinas innvirkning på nyheter på mandarin. I Laos er det kinesisktalende antallet mye lavere, noe som gjenspeiler den relative suksessen til kinesisk-statlige medier i landets miljø.

Skjermbilde av hjemmesiden til det mest besøkte domenet, PhoenixTV.
Figur 14: Hjemmesiden til det mest besøkte domenet, PhoenixTV, med 32 % av alle sidevisningene. Mer informasjon om dette bildet på side 14 i den fullstendige rapporten

Stadig mer komplekse nordkoreanske cyberoperasjoner samler inn informasjon og genererer inntekter til staten

Nordkoreanske cybertrusselaktører følger cyberoperasjoner med mål om å (1) samle inn informasjon om aktivitetene til det staten oppfatter som motstandere: Sør-Korea, USA og Japan, (2) samler inne informasjon om andre lands militære funksjoner for å forbedre sine egne, og (3) samler inn kryptovalutamidler for staten. I løpet av det siste året observerte Microsoft større målrettingsoverlappinger blant distinkte nordkoreanske trusselaktører og en økning i kompleksiteten til nordkoreanske aktivitetsgrupper.

Nord-Koreas cyberprioriteringer fremhever forskning innen maritim teknologi midt i testingen av undervannsdroner og -kjøretøy

I løpet av det siste året har Microsoft trusselinformasjon observert større målrettingsoverlappinger på tvers av nordkoreanske trusselaktører. Eksempelvis tre nordkoreanske trusselaktører – Ruby Sleet (CERIUM), Diamond Sleet (ZINC), og Sapphire Sleet (COPERNICIUM) – rettet seg mot den maritime sektoren og skipsbyggingssektoren fra november 2022 til january 2023. Microsoft hadde ikke tidligere observert dette nivået av målrettingsoverlapping på tvers av flere nordkoreanske aktivitetsgrupper, noe som tyder på at forskning innen maritim teknologi var høyt prioritert hos nordkoreanske myndigheter på dette tidspunktet. I mars 2023 rapporterte Nord-Korea testavfyring av to strategiske krysserraketter fra en ubåt mot Japanhavet (a.k.a. Østhavet) som en advarsel i forkant av den militære øvelsen South Korea-US Freedom Shield. Senere den måneden og den følgende testet Nord-Korea angivelig to Haeil-undervannsangrepsdroner fra landets østkyst mot Japanhavet. Disse testene av maritime militære funksjoner oppstod kort tid etter at tre nordkoreanske cybergrupper rettet seg mot maritime forsvarsinstanser for innsamling av informasjon.

Trusselaktører kompromitterer forsvarsfirmaer idet det nordkoreanske regimet setter høyprioriterte innsamlingskrav

Fra november 2022 til januar 2023 observerte Microsoft en ekstra forekomst av målrettingsoverlappinger, med Ruby Sleet og Diamond Sleet som kompromitterer forsvarsfirmaer. De to trusselaktørene kompromitterte to våpenproduksjonsselskaper basert i Tyskland og Israel. Dette tyder på at nordkoreanske myndigheter tilordner flere trusselaktørgrupper på én gang for å oppfylle høyprioriterte innsamlingskrav for å forbedre landets militære funksjoner. Siden januar 2023 har Diamond Sleet også kompromittert forsvarsselskaper i Brasil, Tsjekkia, Finland, Italia, Norge og Polen.
Sektordiagram som viser forsvarsindustriene som er de hyppigste målene for Nord-Korea, etter land
Figur 15: Nord-Korea som retter seg mot forvarsindustrien etter land, fra mars 2022 til mars 2023

Russiske myndigheter og forsvarsindustri forblir mål for Nord-Korea for innsamling av informasjon

Flere nordkoreanske trusselaktører har nylig rettet seg mot russiske myndigheter og forsvarsindustri, og samtidig gitt stor støtte til Russland i krigen mot Ukraina.32 I mars 2023 kompromitterte Ruby Sleet et forskningsinstitutt for luftfart i Russland. I tillegg kompromitterte Onyx Sleet (PLUTONIUM) en enhet som tilhørte et universitet i Russland tidlig i mars. Samtidig sendte en angriperkonto som kan tilskrives Opal Sleet (OSMIUM), phishing-e-post til kontoer som tilhørte russiske diplomatiske myndighetsinstanser i løpet av samme måned. Nordkoreanske trusselaktører drar nytte av muligheten til å gjennomføre innsamling av informasjon om russiske instanser, grunnet landets fokus på krigen i Ukraina.

Nordkoreanske grupper utviser mer komplekse operasjoner gjennom kryptovalutatyveri og forsyningskjedeangrep

Microsoft vurderer at nordkoreanske aktivitetsgrupper gjennomfører stadig mer komplekse operasjoner gjennom kryptovalutatyveri og forsyningskjedeangrep. I januar 2023 tilskrev Federal Bureau of Investigation (FBI) offentlig juni 2022-tyveriet på USD 100 millioner i kryptovaluta fra Harmonys Horizon Bridge til Jade Sleet (DEV-0954), a.k.a. Lazarus Group/APT38.33 Videre tilskrev Microsoft mars 2023 3CX-forsyningskjedeangrepet, som utnyttet en tidligere kompromittering av forsyningskjeden for et USA-basert finansteknologiselskap i 2022 til Citrine Sleet (DEV-0139). Dette var den første gangen Microsoft hadde observert en aktivitetsgruppe som brukte en eksisterende forsyningskjedekompromittering til å gjennomføre et annet forsyningskjedeangrep, noe som viser den stadig økende kompleksiteten til nordkoreanske cyberoperasjoner.

Emerald Sleet distribuerer testet og anerkjent spearphishing-taktikk ved å lure eksperter til å svare med innsikter om utenrikspolitikk

Emerald Sleet (THALLIUM) forblir den mest aktive nordkoreanske trusselaktøren Microsoft har sporet det siste året. Emerald Sleet fortsetter å sende regelmessig spear-phishing-e-post til eksperter på den koreanske halvøya, rundt om i verden med det formål å samle inn informasjon. I desember 2022 så Microsoft trusselinformasjon nærmere på Emerald Sleets phishing-kampanjer som rettet seg mot innflytelsesrike nordkoreanske eksperter, i USA og amerikansk-allierte land. I stedet for å distribuere skadelige filer og koblinger til skadelige nettsider, oppdaget Microsoft at Emerald Sleet nytter seg av en unik taktikk: å utgi seg for å være anerkjente akademiske institusjoner og NGO-er for å lure ofre til å svare med ekspertinnsikt og kommentarer om utenrikspolitikk knyttet til Nord-Korea.

Funksjoner: Påvirkning

Nord-Korea har gjennomført begrensede påvirkersoperasjoner på sosiale medieplattformer for videodeling, som YouTube og TikTok, det siste året.34 Nordkoreanske påvirkere på YouTube er for det meste jenter og kvinner, der én er så ung som elleve år, som legger ut vlogger om dagliglivet og fremmer positive historier om regimet. Noen av påvirkerne snakker engelsk i videoene, med den hensikt å nå en større og mer global målgruppe. Nordkoreanske påvirkere er mye mindre effektive enn det kinesisk-statlige mediestøttede påvirkerinitiativet.

Tiden fremover med geopolitiske spenninger som lader cyberaktivitet og påvirkingsoperasjoner

Kina har fortsatt å utvide cyberfunksjonene de siste årene og vist mye større ambisjon i IO-kampanjene. På kort sikt skal Nord-Korea beholde fokuset på mål knyttet til politiske, økonomiske og forsvarsrelaterte interesser i området. Vi kan forvente en større cyberspionasje mot både opponenter og støttespillere for CCPs geopolitiske målsettinger på hvert kontinent. Selv om Kina-baserte trusselgrupper fortsetter å utvikle seg og tar i bruk imponerende cyberfunksjoner, har vi ikke observert at Kina kombinerer cyber- og påvirkningsoperasjoner – til forskjell fra Iran og Russland, som engasjerer seg i hack-and-leak-kampanjer.

Kina-tilpassede påvirkningsaktører opererer på en overlegen skala sammenlignet med andre ondsinnede påvirkningaktører, og er ventet å dra fordeler av flere nøkkeltrender og hendelser de neste seks månedene.

For det første har operasjoner som bruker video og visuelle medier, blitt normen. CCP-tilknyttede nettverk har lenge brukt profilbilder generert av kunstig intelligens, og har i år tatt i bruk kunst generert av kunstig intelligens for visuelle memer. Aktører som støttes av staten, vil også fortsette å benytte seg av private innholdsstudioer og offentlige relasjonsfirmaer for å utkontraktere behovsbetinget propaganda.35

For det andre vil Kina fortsette å se etter autentisk engasjement, og investere tid og ressurser i kultiverte sosiale medieressurser. Påvirkere med dyp kulturell og lingvistisk kunnskap og høykvalitets videoinnhold har blitt pionerer for vellykket kommunikasjon på sosiale medier. CCP gjelder for noen av disse taktikkene, inkludert samhandling med brukere av sosiale medier og vise kulturell kunnskap for å støtte de skjulte kampanjene på sosiale medier.

For det tredje vil Taiwan og USA sannsynligvis forbli de to største prioriteringene til kinesisk IO, særlig med kommende valg i begge land i 2024. Med tanke på at CPP-tilpassede påvirkningsaktører nylig har rettet seg mot amerikanske valg, er det nesten sikkert at de vil gjør det igjen. Sosiale medieressurser som gir seg ut for å være amerikanske velgere, vil sannsynligvis vise høyere grad av kompleksitet, og aktivt skape splid langs rasemessige, sosioøkonomiske og ideologiske linjer med innhold som er svært kritisk til USA.

  1. [1]
  2. [2]

    Nye baser på Filippinene øker tilstedeværelsen til amerikansk militære i området, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    For øyeblikket er det utilstrekkelig bevis for å knytte gruppene sammen.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Denne statistikken gjenspeiler data fra og med april 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Slike påvirkningsaktører er noen ganger kjent som «Spamouflage Dragon» eller «DRAGONBRIDGE».
  18. [18]
  19. [19]
  20. [20]

    Se: Microsoft Threat Analysis Centers rammeverk for å fastsette påvirkertilskrivelser. https://go.microsoft.com/fwlink/?linkid=2262095; Kinesiske myndigheter refererer vanligvis til den kinesiske diasporaen som «kinesere i utlandet» eller 华侨 (huaqiao), som refererer til de med kinesisk statsborgerskap eller arv som bor utenfor PRC. For mer informasjon om Beijings tolkning av den kinesiske diaspora kan du se: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    Kinesiske myndigheter sådde denne historien i begynnelsen av COVID-19-pandemien, se: https://go.microsoft.com/fwlink/?linkid=2262170; nettsteder i dette nettverket som fremmer dette kravet, inkluderer: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Beskyttelse av Ukraina: Tidlige erfaringer fra cyberkrigen, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    En annen tolkning av xuexi qiangguo er «Studer Xi, styrk landet». Navnet er et ordspill på XI Jinpings familienavn. Myndigheter, universiteter og bedrifter i Kina fremmer bruken av appen, og mobber eller straffer tidvis underordnede for lite bruk, se: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    Dokumentet eies av Shanghai United Media Group, som i sin tur eies av Shanghai Communist Party Committee: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    CCP har tidligere investert i selskaper i privat sektor som hjelper IO-kampanjer via SEO-manipuleringsteknikker, falske likerklikk og følgere og andre tjenester. Innkjøpsdokumenter avdekker slike bud, se: https://go.microsoft.com/fwlink/?linkid=2262522

Cyberbaserte påvirkningsoperasjoner Statlige rapporter om Øst-Asia Statlige rapporter Phishing Trusselaktører

Relaterte artikler

Volt Typhoon retter seg mot den kritiske infrastrukturen i USA med LotL-teknikker

Det har blitt observert at den statlig sponsede kinesiske aktøren Volt Typhoon bruker snikende teknikker for å angripe den kritiske infrastrukturen i USA, utfører spionasje og oppholder seg i kompromitterte miljøer.
Mer informasjon

Propaganda i den digitale tidsalderen: Hvordan cyberpåvirkningsoperasjoner bryter ned tillit

Send ut spørreundersøkelser om cyberpåvirkningsoperasjoner, der nasjonalstater distribuerer propaganda som er designet for å true den troverdige informasjonen demokratiet krever for å blomstre.
Mer informasjon

Iran tyr til cyberaktiverte påvirkningsoperasjoner for større virkning

Microsoft trusselinformasjon avdekket en økning i cyberaktiverte påvirkningsoperasjoner fra Iran. Få trusselinnsikt med informasjon om nye teknikker og hvor fremtidige trusler kan komme fra.
Mer informasjon

Følg Microsoft Sikkerhet