Trace Id is missing

As ameaças digitais do Pacífico Asiático crescem em abrangência e eficácia

Baixar
Compartilhar
Uma pessoa sentada na frente de um computador

Introdução

Diversas tendências emergentes ilustram um panorama de ameaças que está mudando rapidamente no Leste da Ásia, com a China realizando operações cibernéticas e de influência (IO)abrangentes, e os atores de ameaças cibernéticas da Coreia do Norte demonstrando uma sofisticação cada vez maior.

Primeiramente, grupos de ameaças cibernéticas associados ao estado chinês têm demonstrado um foco específico na região do Mar do Sul da China, direcionando espionagem cibernética a governos e outras entidades críticas que circundam essa área marítima. Enquanto isso, o foco da China no setor de defesa dos EUA e a sondagem da infraestrutura americana sinalizam tentativas de obter vantagens competitivas em relações exteriores e objetivos militares estratégicos chineses.

Em segundo lugar, a China se tornou mais eficaz em engajar usuários de redes sociais com operações de influência no último ano. As campanhas de influência online chinesas há muito tempo dependem do volume massivo para alcançar usuários por meio de redes de contas inautênticas nas redes sociais. Entretanto, desde 2022, redes sociais alinhadas com a China têm interagido diretamente com usuários autênticos em redes sociais, direcionando conteúdos específicos sobre as eleições dos EUA e se passando por eleitores americanos. De forma separada, a iniciativa de influenciadores multilíngues afiliados ao estado chinês conseguiu engajar o público-alvo em pelo menos 40 idiomas e aumentou sua audiência para mais de 103 milhões.

O terceiro é que a China continuou ampliando suas campanhas de operação de influência no último ano, expandindo esforços para novos idiomas e novas plataformas para aumentar sua presença global. Nas redes sociais, as campanhas implantam milhares de contas inautênticas em dezenas de sites, espalhando memes, vídeos e mensagens em diversos idiomas. No âmbito das mídias de notícias online, os meios de comunicação estatais chineses são táticos e eficazes ao se posicionar como a voz de autoridade no discurso internacional sobre a China, usando vários meios para exercer influência em veículos de mídia em todo o mundo. Uma campanha promoveu a propaganda do Partido Comunista Chinês (PCC) por meio de sites de notícias locais direcionados à diáspora chinesa em mais de 35 países.

Por fim, a Coreia do Norte, que, ao contrário da China, carece de capacidade como um ator de influência sofisticado, continua sendo uma ameaça cibernética considerável. A Coreia do Norte tem demonstrado um interesse contínuo na coleta de inteligência e aumento da sofisticação tática, usando ataques em cascata na cadeia de suprimentos e roubo de criptomoedas, entre outras táticas.

Operações cibernéticas chinesas direcionam o foco para o Mar do Sul da China e setores-chave nos Estados Unidos

Desde o início de 2023, as Informações sobre ameaças da Microsoft identificou três áreas de foco principais dos atores de ameaças cibernéticas ligados à China: o Mar do Sul da China, a base industrial de defesa dos EUA e a infraestrutura crítica dos EUA.

Ações de ciberespionagem patrocinadas pelo estado chinês refletem metas estratégicas no Mar do Sul da China

Atores de ameaças associados ao estado chinês continuam demonstrando interesse no Mar do Sul da China e em Taiwan, o que representa a ampla gama de interesses econômicos, de defesa e políticos da China nessa região.1 Disputas territoriais, tensões crescentes no Estreito e um aumento da presença militar dos EUA podem ser alguns motivos para as atividades cibernéticas ofensivas da China.2

A Microsoft acompanhou o grupo Raspberry Typhoon (RADIUM) como o principal ator de ameaças focado nas nações ao redor do Mar do Sul da China. O Raspberry Typhoon costuma visar ministérios do governo, entidades militares e corporações ligadas à infraestrutura crítica, especialmente telecomunicações. Desde janeiro de 2023, o grupo tem mostrado muita persistência. Ao visar ministérios governamentais ou infraestrutura, o Raspberry Typhoon normalmente realiza coleta de inteligência e execução de malware. Em muitos países, os alvos vão desde ministérios relacionados à defesa e inteligência até ministérios de economia e comércio.

O Flax Typhoon (Storm-0919) é o grupo de ameaças com mais destaque com foco na ilha de Taiwan. Esse grupo visa principalmente setores telecomunicações, educação, tecnologia da informação e infraestrutura energética, geralmente utilizando um dispositivo de VPN personalizado para estabelecer presença diretamente na rede alvo. De forma parecida, o Charcoal Typhoon (CHROMIUM) direciona seus ataques a instituições educacionais, infraestrutura energética e fabricação de alta tecnologia de Taiwan. Em 2023, tanto o Charcoal Typhoon quanto o Flax Typhoon visaram entidades aeroespaciais taiwanesas que mantêm contratos com as forças militares de Taiwan.

Mapa da região do Mar do Sul da China com destaque para os eventos observados por país
Figura 1: Eventos observados por país no Mar do Sul da China de janeiro de 2022 a abril de 2023. Saiba mais sobre esta imagem na página 4 do relatório completo

Atores de ameaças chineses focam em Guam enquanto os EUA constroem uma base do Corpo de Fuzileiros Navais

Vários grupos de ameaças sediados na China continuam a visar a base industrial de defesa dos EUA, especificamente os grupos Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) e Mulberry Typhoon (MANGANESE). Embora às vezes os alvos desses três grupos coincidam, eles são atores distintos, com sua próprias infraestruturas e capacidades.3

O Circle Typhoon conduz uma ampla gama de atividades cibernéticas contra a base industrial de defesa dos EUA, incluindo desenvolvimento de recursos, coleta, acesso inicial e obtenção de credenciais. Esse grupo frequentemente utiliza dispositivos VPN para direcionar seus ataque ao TI e prestadores de serviços de defesa localizados nos EUA. O Volt Typhoon também realizou campanhas de reconhecimento contra vários prestadores de serviços de defesa dos EUA. Guam é um dos alvos mais frequentes dessas campanhas, principalmente as entidades de comunicações via satélite e telecomunicações localizadas lá.4

Uma tática frequente do Volt Typhoon envolve comprometer roteadores pequenos escritórios e residências, geralmente com o intuito de desenvolver uma infraestrutura.5 O grupo Mulberry Typhoon também direcionou ataques à base industrial de defesa dos EUA, com destaque para um exploit de dia zero direcionado a dispositivos.6 O aumento do foco em Guam é significativo, dado à sua posição como o território dos EUA mais próximo do Leste Asiático e essencial para a estratégia dos EUA na região.

Grupos de ameaças chineses visam infraestruturas críticas dos EUA

A Microsoft observou grupos de ameaças vinculados ao estado chinês direcionando ataquem a infraestruturas críticas dos EUA em vários setores e notou um desenvolvimento significativo de recursos nos últimos seis meses. O Volt Typhoon tem sido o grupo principal por trás dessas atividades desde pelo menos o início do segundo semestre de 2021, e a extensão dessas atividades ainda não é totalmente conhecida.

Os setores visados incluem transporte (como portos e ferrovias), serviços públicos (como energia e tratamento de água), infraestrutura médica (incluindo hospitais) e infraestrutura de telecomunicações (incluindo comunicações via satélite e sistemas de fibra óptica). A Microsoft avalia que essa campanha poderia dar à China a capacidade de interromper as infraestruturas críticas e as comunicações entre os Estados Unidos e a Ásia.7

Grupo de ameaças localizados na China visa cerca de 25 organizações, incluindo entidades governamentais dos EUA

A partir de 15 de maio, o Storm-0558, um ator de ameaças da China, usou tokens de autenticação falsificados para acessar contas de email de clientes da Microsoft de aproximadamente 25 organizações, incluindo entidades governamentais dos EUA e da Europa.8 A Microsoft bloqueou com sucesso essa campanha. O objetivo do ataque era obter acesso não autorizado a contas de email. A Microsoft considera que essa atividade estava alinhada com os objetivos de espionagem do Storm-0558. Esse mesmo grupo já havia direcionado ataques a entidades diplomáticas dos EUA e da Europa.

A China também direciona esforços contra seus parceiros estratégicos

À medida que a China amplia suas relações bilaterais e parcerias globais através da Iniciativa Cinturão e Rota (BRI), atores de ameaças associados ao estado chinês têm conduzido operações cibernéticas paralelas contra entidades privadas e públicas ao redor do mundo. Grupos de ameaças estabelecidos na China focam em países alinhados com a estratégia da BRI do Partido Comunista Chinês, como entidades no Cazaquistão, Namíbia, Vietnã e outros.9 Paralelamente, as atividades generalizadas de ameaças da China tem como alvos constantes os ministérios estrangeiros sediados em toda a Europa, América Latina e Ásia. É possível que os objetivos dessas ações sejam realizar espionagens econômicas ou coletas de inteligência.10 Com a expansão da influência global da China, espera-se que as atividades dos grupos de ameaças acompanhem esse crescimento. Em abril de 2023, o Twill Typhoon (TANTALUM) comprometeu sistemas governamentais na África e na Europa, bem como organizações humanitárias em todo o mundo.

Operações de rede social alinhadas ao Partido Comunista Chinês aumentam a eficiência do engajamento com o público-alvo

As operações secretas de influência associadas ao Partido Comunista Chinês (PCC) começaram a engajar com sucesso com audiências nas redes sociais em um grau maior do que o observado anteriormente, indicando níveis mais altos de sofisticação e desenvolvimento de ativos de operações de influência. Antes das eleições de meio de mandato (midterms) dos EUA em 2022, a Microsoft e parceiros do setor observaram contas de redes sociais associadas ao PCC se passando por eleitores americanos, algo que representa um novo território para as operações de influência vinculadas ao PCC.11 Essas contas fingiam ser americanos de diferentes espectros políticos e interagiam respondendo a comentários de usuários reais.

Em termos de comportamento e conteúdo, essas contas revelam muitas táticas, técnicas e procedimentos (TTPs) de operações de influência chinesas bem documentadas. Alguns exemplos são: contas que inicialmente postavam em mandarim antes de mudar para outro idioma, interagindo com conteúdo de outros ativos alinhados à China logo após a postagem, além de adotar um padrão de interação do tipo "semear e amplificar".12 Ao contrário de campanhas anteriores de operações de influência do PCC, que usavam identificadores gerados por computador nomes de exibição e fotos de perfil fáceis de identificar13, essas contas mais sofisticadas são operadas por pessoas reais que usam identidades fictícias ou roubadas para esconder a ligação das contas com o Partido Comunista Chinês.

Contas de redes sociais nesta rede exibem comportamento semelhante à atividade supostamente conduzida por um grupo de elite dentro do Ministério da Segurança Pública (MPS, em inglês) chamado Grupo de Trabalho Especial 912. Segundo o Departamento de Justiça dos EUA, o grupo operou uma fazenda de trolls em redes sociais que criou milhares de perfis fakes online e impulsionou propaganda do PCC visando ativistas pró-democracia.

Desde março de 2023, alguns ativos suspeitos de operação de influência chinesas em redes sociais ocidentais começaram a usar inteligência artificial (IA) gerativa para criar conteúdos visuais. Estes conteúdos visuais de alta relativamente qualidade já conseguiu atrair níveis mais altos de engajamento de usuários reais nas redes sociais. Essas imagens apresentam as características de geração de imagens com tecnologia de difusão e são mais chamativas do que os conteúdos visuais desajeitados de campanhas anteriores. Os usuários têm compartilhado essas imagens com mais frequência, apesar dos indicadores comuns de geração por IA, como, por exemplo, mais de cinco dedos na mão de uma pessoa.14

Posts nas redes sociais lado a lado mostrando imagens idênticas do movimento Black Lives Matter.
Figura 2: Uma imagem do movimento Black Lives Matter, inicialmente publicado por uma conta automatizada associada ao PCC, foi depois postada por uma conta que se passava por um eleitor conservador dos EUA sete horas mais tarde.
Uma imagem propagandística da Estátua da Liberdade gerada por IA.
Figura 3: Exemplo de uma imagem gerada por IA publicada por um suposto ativo de operações cibernéticas chinesas. A mão da Estátua da Liberdade segurando a tocha tem mais de cinco dedos. Saiba mais sobre esta imagem na página 6 do relatório completo.
Uma matriz de quatro categorias de influenciadores jornalistas, influenciadores de estilo de vida, colegas e minorias étnicas, distribuídos em um espectro que vai do explícito ao oculto
Figura 4: Esta iniciativa compreende influenciadores que se enquadram em quatro categorias amplas baseadas em seus antecedentes, públicos-alvo, estratégias de recrutamento e gerenciamento. Todos os indivíduos incluídos em nossa análise têm laços diretos com a mídia estatal chinesa, seja por meio de emprego, convites de viagem ou outras trocas monetárias. Saiba mais sobre esta imagem na página 7 do relatório completo.

A iniciativa de influenciadores da mídia estatal chinesa

Outra estratégia que tem alcançado um engajamento significativo nas redes sociais é o conceito do PCC de "estúdios de celebridades multilíngues da internet" (多语种网红工作室).15 Utilizando o poder de vozes reais, mais de 230 funcionários e afiliados da mídia estatal se passam por influenciadores independentes nas principais plataformas de rede social ocidentais.16 Em 2022 e 2023, novos influenciadores têm surgido a cada sete semanas, em média. Recrutados, treinados, promovidos e financiados pela Rádio Internacional da China (CRI) e outros veículos de mídia estatais chineses, esses influenciadores divulgam propaganda do PCC altamente localizada, capaz de engajar significativamente com públicos-alvo ao redor do mundo. Juntos, alcançam um número de seguidores que chega a pelo menos 103 milhões em várias plataformas, falando pelo menos 40 idiomas.

Embora os influenciadores publiquem principalmente conteúdos inocentes sobre estilo de vida, essa técnica mascara a propaganda alinhada ao PCC, que busca melhorar a imagem da China no exterior.

A estratégia de recrutamento de influenciadores da mídia estatal chinesa parece recrutar dois grupos distintos de pessoas: aquelas com experiência em jornalismo (especificamente em veículos de mídia estatal) e recém-formados em programas de idiomas estrangeiros. Especificamente, o Grupo de Mídias da China (empresa-mãe da CRI e CGTN) parece recrutar diretamente os graduados das principais escolas de idiomas estrangeiros da China, como a Universidade de Estudos Estrangeiros de Pequim e a Universidade de Comunicação da China. Aqueles que não são recrutados diretamente das universidades são muitas vezes ex-jornalistas e tradutores, que ocultam em seus perfis qualquer conexão explícita com os meios de comunicação estatais após "se reinventarem" como influenciadores.

O influenciador Song Siao, que fala laosiano, publica vlogs sobre estilo de vida que abordam a recuperação econômica da China em meio à pandemia de COVID-19.
Figura 5: O influenciador Song Siao, que fala laosiano, publica vlogs sobre estilo de vida que abordam a recuperação econômica da China em meio à pandemia de COVID-19. No vídeo gravado por ele mesmo, visita uma concessionária de veículos em Pequim e conversa com os moradores locais. Saiba mais sobre esta imagem na página 8 do relatório completo
Postagem nas redes sociais de Techy Rachel, uma influenciadora que fala inglês.
Figura 6: Techy Rachel, uma influenciadora que fala inglês e geralmente posta sobre inovações e tecnologias chinesas, desvia-se de seus temas de conteúdo para expressar sua opinião sobre o debate do balão espião chinês. Assim como outros veículos de mídia estatal chinesa, ela nega que o balão tenha sido usado para espionagem. Saiba mais sobre esta imagem na página 8 do relatório completo

Os influenciadores alcançam audiências globais em pelo menos 40 idiomas

A distribuição geográfica dos idiomas falados por influenciadores associados a estados reflete ao crescimento da influência global da China e sua priorização regional. Os influenciadores que falam línguas asiáticas, excluindo o mandarim (como hindi, cingalês, pashto, laosiano, coreano, malaio e vietnamita ), formam o maior grupo de influenciadores. Os influenciadores de língua inglesa representam o segundo maior grupo.
Cinco gráficos de pizza mostrando a distribuição dos influenciadores da mídia estatal chinesa por idioma.
Figura 7: Detalhamento dos influenciadores dos veículos de mídia estatais chineses por idioma. Saiba mais sobre esta imagem na página 9 do relatório completo

A China visa audiências em todo o mundo

Influenciadores focam em sete espaços de audiência (agrupamentos linguísticos) que são divididos em regiões geográficas. Não foram mostrados gráficos para os espaços de audiência de língua inglesa ou chinesa.

O alcance global das operações de influência chinesas em várias campanhas

Em 2023, a China ampliou ainda mais a magnitude de suas operações de influência online, alcançando audiências em novos idiomas e em novas plataformas. Essas operações combinam um aparato de mídia estatal aberto e altamente controlado com ativos de rede social encobertos ou disfarçados, incluindo bots, que divulgam e amplificam as narrativas escolhidas pelo Partido Comunista Chinês.17

A Microsoft observou uma dessas campanhas associadas ao PCC, que teve início em janeiro de 2022 e ainda estava em andamento no momento em que este artigo foi escrito, tendo como alvo a organização não governamental (ONG) espanhola Safeguard Defenders após ela revelar a existência de mais de 50 delegacias de polícia chinesas no exterior.18 Esta campanha implantou mais de 1.800 contas em diversas redes sociais e dezenas de sites para disseminar memes, vídeos e mensagens alinhados ao PCC, que criticavam os Estados Unidos e outras democracias.

Essas contas publicaram em novos idiomas (holandês, grego, indonésio, sueco, turco, uigur e outros) e em novas plataformas (incluindo Fandango, Rotten Tomatoes, Medium, Chess.com e VK, entre outras). Apesar da magnitude e da persistência desta operação, suas postagens raramente conseguem engajamento significativo de usuários reais, o que ressalta a natureza rudimentar das atividades dessas redes chinesas.

Uma imagem com 30 logotipos de marcas de tecnologia conhecidas apresentados ao lado de uma lista com 16 idiomas
Figura 8: Conteúdo de operação de influência associado ao PCC foi detectado em várias plataformas e em muitos idiomas. Saiba mais sobre esta imagem na página 10 do relatório completo
Exemplos de capturas de tela lado a lado de propaganda em vídeo em língua taiwanesa
Figura 9: Alto volume de compartilhamentos de um vídeo em língua taiwanesa que convoca o governo de Taiwan a "se render" a Pequim. A grande diferença entre interações e compartilhamentos é um grande indicativo de que se trata de uma atividade de operação de influência coordenada. Saiba mais sobre esta imagem na página 10 do relatório completo

Uma rede global velada de sites de notícias do PCC

Outra campanha de mídia digital que ilustra a ampla abrangência das operações de influência associadas ao PCC é uma rede de mais de 50 sites de notícias, predominantemente em língua chinesa, que apoiam o objetivo declarado do PCC em ser a voz de autoridade de toda a mídia de língua chinesa no mundo.19 Apesar de se apresentarem como sites independentes e sem vínculo com o estado, voltados para diferentes comunidades da diáspora chinesa ao redor do mundo, avaliamos com alta confiança que estes sites estão vinculados ao Departamento de Trabalho da Frente Unida (DFTU) — um órgão responsável por fortalecer a influência do PCC além das fronteiras da China, principalmente através do contato com "chineses no exterior" — com base em indicadores técnicos, informações de registro de sites e conteúdo compartilhado.20
Mapa mundial com mais de 20 logotipos de sites chineses direcionados à diáspora chinesa global.
Figura 10: Mapa de sites que visam a diáspora chinesa global, avaliados como parte desta estratégia midiática.  Saiba mais sobre esta imagem na página 11 do relatório completo

Como muitos desses sites compartilham endereços de IP, a consulta de resoluções de domínio com as Informações sobre Ameaças do Microsoft Defender nos permitiu descobrir mais sites na rede. Muitos sites compartilham código HTML de front-end, e até os comentários dos desenvolvedores web embutidos no código geralmente são idênticos em diferentes sites. Mais de 30 desses sites utilizam a mesma interface de programação de aplicativo (API) e sistema de gestão de conteúdo de uma "subsidiária de propriedade integral" da China News Service (CNS), a agência de mídia da DFTU.21 Registros do Ministério da Indústria e Tecnologia da Informação da China também revelam que essa e outras empresas de tecnologia afiliadas ao DFTU registraram pelo menos 14 sites de notícias nessa rede.22 Utilizando subsidiárias e empresas de mídia terceirizadas dessa maneira, o DFTU consegue alcançar uma audiência global enquanto mascara seu envolvimento direto.

Esses sites se apresentam como provedores independentes de notícias, mas frequentemente republicam os mesmos artigos dos veículos de mídia estatais chineses, muitas vezes alegando serem a fonte original do conteúdo. Embora os sites cubram notícias internacionais de forma ampla e publiquem artigos genéricos da mídia estatal chinesa, os assuntos politicamente sensíveis estão quase sempre alinhados com as narrativas do PCC. Por exemplo, centenas de artigos dentro desta rede de sites promovem alegações falsas de que o vírus COVID-19 é uma arma biológica produzida no laboratório de pesquisa biológica militar dos EUA em Fort Detrick.23 Com frequência, os sites também divulgam declarações de oficiais do governo chinês e artigos dos veículos de mídia estatais alegando que o vírus COVID-19 teve origem nos Estados Unidos e não na China. Estes sites exemplificam o quanto o controle do PCC se infiltrou nos meios de comunicação em língua chinesa, permitindo ao Partido suprimir reportagens críticas sobre temas delicados.

Diagrama de acordes de artigos semelhantes publicados por vários sites.
Figura 11: Sites aparentam ser únicos para cada localidade, mas compartilham conteúdos idênticos. Este diagrama de acordes mostra artigos sobrepostos publicados por vários sites. Saiba mais sobre esta imagem na página 12 do relatório completo
Capturas de tela de como um artigo da China News Service foi republicado em sites direcionados a audiências na Itália, Hungria, Rússia e Grécia
Figura 12: A China News Service e outras mídias estatais chinesas publicaram um artigo intitulado "Declaração da OMS expõe laboratórios biológicos obscuros dos EUA na Ucrânia". Em seguida, esse artigo foi publicado em sites direcionados para audiências na Hungria, Suécia, África Ocidental e Grécia. Saiba mais sobre esta imagem na página 12 do relatório completo

Alcance global dos veículos de mídia estatais chineses

Embora a campanha mencionada anteriormente seja conhecida por sua ocultação, os legítimos sites de mídia estatais chineses representam a grande maioria da audiência global dos veículos de mídia dirigidos pelo PCC. Expandindo para idiomas estrangeiras,24 ao estabelecer escritórios de imprensa estatais chineses no exterior,25 e oferecer conteúdo gratuito pró-Pequim,26 o PCC estende o alcance do seu "poder de discurso" (话语权) injetando propaganda nos meios de comunicação de países ao redor do mundo.27
Um gráfico organizacional que representa um panorama do ecossistema de propaganda ostensiva do PCC.
Figura 13: Gráfico organizacional que representa um panorama das funções e entidades que fazem parte do ecossistema de propaganda ostensiva do PCC. Saiba mais sobre esta imagem na página 13 do relatório completo

Medição de tráfego para sites de veículos de mídia estatais chineses

O AI for Good Lab da Microsoft desenvolveu um índice para medir o fluxo de tráfego de usuários fora da China para veículos majoritariamente controlados pelo governo chinês. O índice mede a proporção do tráfego que visita esses sites em relação ao tráfego total na internet, semelhante ao Índice de Propaganda Russa (RPI) introduzido em junho de 2022.28

Cinco domínios dominam o consumo de mídia estatal chinesa, correspondendo a aproximadamente 60% de todas as visualizações de páginas desses veículos de mídia.

Gráfico mostrando o consumo dos meio de comunicação chineses
Saiba mais sobre esta imagem na página 14 do relatório completo

O índice pode revelar tendências no sucesso relativo dos meios de comunicação estatais chineses por geografia ao longo do tempo. Por exemplo, entre os estados membros da Associação de Nações do Sudeste Asiático (ASEAN), Singapura e Laos se destacam com mais do que o dobro do tráfego relativo para sites das mídias estatais chinesas em comparação com Brunei, que ocupa o terceiro lugar. As Filipinas estão na última posição, com 30 vezes menos tráfego para sites da imprensa estatal chinesa do que Singapura e Laos. Em Singapura, onde o mandarim é um dos idiomas oficiais, o alto consumo de mídia estatal da China reflete a influência chinesa sobre as notícias em mandarim. No Laos, onde há bem menos falantes de chinês, isso reflete o sucesso relativo desses veículos de mídia no ambiente do país.

Captura de tela da página inicial do domínio mais visitado, PhoenixTV.
Figura 14: Página inicial do domínio mais acessado, PhoenixTV, com 32% de todas as visualizações de páginas. Saiba mais sobre esta imagem na página 14 do relatório completo

Operações cibernéticas norte-coreanas cada vez mais sofisticadas coletam informações e geram receita para o estado

Atores de ameaças cibernéticas norte-coreanos conduzem operações para (1) coletar informações sobre as atividades dos estados considerados como adversários: Coreia do Sul, Estados Unidos e Japão, (2) coletar informações sobre as capacidades militares de outros países para aprimorar as suas e (3) arrecadar fundos em criptomoedas para o estado. No último ano, a Microsoft observou uma maior coincidência de alvos entre diferentes atores de ameaças norte-coreanos e um aumento na sofisticação dos grupos de atividades norte-coreanos.

As prioridades cibernéticas da Coreia do Norte focam em pesquisa tecnológica marítima em meio a testes de drones e veículos submarinos

No último ano, as Informações sobre ameaças da Microsoft notou uma maior coincidência de alvos entre atores de ameaças norte-coreanos. Por exemplo, três atores de ameaças norte-coreanos — Ruby Sleet (CERIUM), Diamond Sleet (ZINC) e Sapphire Sleet (COPERNICIUM) — visaram o setor marítimo e de construção naval entre novembro de 2022 e janeiro de 2023. A Microsoft não havia registrado antes esse nível de combinação de alvos entre vários grupos de atividades norte-coreanos, o que sugere que a pesquisa em tecnologia marítima era uma alta prioridade para o governo norte-coreano na época. Em março de 2023, a Coreia do Norte supostamente realizou testes de dois mísseis de cruzeiro estratégicos a partir de um submarino em direção ao Mar do Japão (também conhecido como Mar do Leste) como um alerta antes do exercício militar Freedom Shield entre a Coreia do Sul e os EUA. Mais tarde, naquele mês e no seguinte, a Coreia do Norte teria testado dois drones de ataque submarino Haeil na costa leste do país em direção ao Mar do Japão. Esses testes de capacidades militares marítimas ocorreram logo após três grupos cibernéticos norte-coreanos terem visado entidades de defesa marítima para coleta de informações.

Atores de ameaças invadem empresas de defesa enquanto o regime norte-coreano estabelece requisitos de coleta de alta prioridade

De novembro de 2022 a janeiro de 2023, a Microsoft observou um segundo caso de combinação de alvos, com os grupos Ruby Sleet e Diamond Sleet invadindo empresas de defesa. Os dois atores de ameaças invadiram duas empresas de fabricação de armas sediadas na Alemanha e em Israel. Isso sugere que o governo norte-coreano está designando vários grupos de atores de ameaças simultaneamente para cumprir os requisitos de coleta de alta prioridade para melhorar as capacidades militares do país. Desde janeiro de 2023, o Diamond Sleet também invadiu empresas de defesa no Brasil, República Tcheca, Finlândia, Itália, Noruega e Polônia.
Gráfico de pizza mostrando os setores de defesa mais visados pela Coreia do Norte, divididos por país
Figura 15: Coreia do Norte visa setores de defesa por país, de março de 2022 a março de 2023

O governo e as indústrias de defesa da Rússia continuam sendo alvos para a Coreia do Norte coletar mais informações

Recentemente, diversos atores de ameaças norte-coreanos visaram o governo e a indústria de defesa da Rússia, ao mesmo tempo em que forneciam suporte material para a Rússia na guerra contra a Ucrânia.32 Em março de 2023, o grupo Ruby Sleet invadiu um instituto de pesquisa aeroespacial russo. Além disso, o Onyx Sleet (PLUTONIUM) invadiu um dispositivo de uma universidade da Rússia no início de março. Em um outro ataque, uma conta de invasora atribuída ao Opal Sleet (OSMIUM) enviou emails de phishing para contas de entidades governamentais diplomáticas russas durante o mesmo mês. Parece que os atores de ameaças norte-coreanos estão aproveitando a oportunidade para coletar informações sobre entidades russas, enquanto o país está concentrado na guerra contra a Ucrânia.

Grupos norte-coreanos revelam operações mais sofisticadas através de roubo de criptomoedas e ataques à cadeia de suprimentos

A Microsoft avalia que os grupos de atividades norte-coreanos estão conduzindo operações cada vez mais sofisticadas, incluindo roubos de criptomoedas e ataques à cadeia de suprimentos. Em janeiro de 2023, o Federal Bureau of Investigation (FBI) atribuiu publicamente o roubo de US$ 100 milhões em criptomoedas da Harmony's Horizon Bridge em junho de 2022 ao Jade Sleet (DEV-0954), conhecido como Lazarus Group/APT38.33 Além disso, a Microsoft atribuiu o ataque à cadeia de suprimentos da 3CX em março de 2023, que se aproveitou de um comprometimento anterior na cadeia de suprimentos de uma empresa de tecnologia financeira baseada nos EUA em 2022, ao Citrine Sleet (DEV-0139). Essa foi a primeira vez que a Microsoft observou um grupo de atividades usando um comprometimento já existente na cadeia de suprimentos para realizar um novo ataque, evidenciando o aumento da sofisticação das operações cibernéticas norte-coreanas.

O grupo utiliza uma tática eficaz de spear phishing, atraindo especialistas a compartilhar insights sobre políticas externas

Emerald Sleet (THALLIUM) continua sendo o ator de ameaças norte-coreano mais ativo que a Microsoft monitorou no último ano. O Emerald Sleet continua enviando emails de spear phishing frequentemente para especialistas na Península Coreana ao redor do mundo com objetivo de coletar informações. Em dezembro de 2022, as Informações sobre ameaças da Microsoft detalhou as campanhas de phishing do Emerald Sleet visando renomados especialistas em Coreia do Norte nos Estados Unidos e países aliados. Em vez de implantar arquivos maliciosos ou links para sites mal-intencionados, a Microsoft descobriu que o Emerald Sleet emprega uma tática diferente: se passa por instituições acadêmicas e ONGs conhecidas para atrair vítimas a compartilhar insights e comentários especializados sobre políticas externas relacionadas à Coreia do Norte.

Recursos: influência

Ao longo do último ano, a Coreia do Norte conduziu operações de influência limitadas em plataformas de compartilhamento de vídeos como YouTube e TikTok.34 Os influenciadores norte-coreanos no YouTube são principalmente meninas e mulheres, uma delas com apenas onze anos, que publicam vlogs sobre suas vidas cotidianas e promovem narrativas positivas sobre o estado. Alguns dos influenciadores falam inglês em seus vídeos, com a intenção de alcançar uma audiência global mais ampla. Os influenciadores da Coreia do Norte são muito menos eficazes do que a iniciativa de influenciadores apoiada pelos veículos de mídia estatais chineses.

Olhando para o futuro, à medida que as tensões geopolíticas intensificam as atividades cibernéticas e operações de influência

A China tem ampliado suas capacidades cibernéticas nos últimos anos e demonstrado muito mais ambição em suas campanhas de operações de influência. No curto prazo, espera-se que a Coreia do Norte mantenha o foco em alvos relacionados aos seus interesses políticos, econômicos e de defesa na região. Podemos esperar um aumento na espionagem cibernética contra opositores e apoiadores dos objetivos geopolíticos do Partido Comunista Chinês em todos os continentes. Embora grupos de ameaças localizados na China continuem a desenvolver e empregar capacidades cibernéticas impressionantes, não observamos a China combinar operações cibernéticas e de influência, ao contrário do Irã e da Rússia, que se envolvem em campanhas de invasão e vazamento de dados (hack-and-leak).

Operando em uma escala sem precedentes em comparação a outros atores de influência mal-intencionados, os atores de influência alinhados à China estão prontos para se beneficiar das principais tendências e eventos nos próximos seis meses.

Primeiramente, operações que utilizam mídias visuais e vídeos estão se tornando comuns. Redes vinculadas ao PCC têm usado fotos de perfis geradas por IA há tempos, e este ano começaram a usar artes geradas por IA para memes visuais. Atores apoiados pelo estado também continuarão recorrendo a estúdios de conteúdo privados e agências de publicidade para terceirizar a propaganda de acordo com a demanda.35

Em segundo lugar, a China seguirá buscando engajamento autêntico do público, investindo tempo e recursos em perfis de redes sociais cuidadosamente cultivados. Influenciadores com profundo conhecimento cultural e linguístico, juntamente com conteúdos de vídeo de alta qualidade, têm sido pioneiros para um gerar um bom engajamento nas redes sociais. O CCP deve adotar algumas dessas táticas, incluindo interação com usuários nas redes sociais e demonstração de conhecimento cultural, para reforçar suas campanhas ocultas nas redes sociais.

Terceiro, é provável que Taiwan e os Estados Unidos continuem sendo as duas principais prioridades para as operações de influência chinesas, especialmente com as eleições previstas para os dois países em 2024. Considerando que atores de influência alinhados ao PCC já visaram as eleições americanas no passado recente, é quase certo que o farão novamente. Perfis de redes sociais que se passam por eleitores dos EUA mostrarão níveis mais altos de sofisticação, semeando discórdia o que diz respeito a pautas raciais, socioeconômicas e ideológicas com conteúdo extremamente crítico aos Estados Unidos.

  1. [1]
  2. [2]

    Novas bases nas Filipinas aumentam a presença militar dos EUA na região, https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    No momento, não existem provas suficientes para associar os grupos.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; Essas estatísticas são referentes a dados de abril de 2023.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Tais atores de influência são por vezes conhecidos como "Spamouflage Dragon" ou "DRAGONBRIDGE".
  18. [18]
  19. [19]
  20. [20]

    Confira: A estrutura do Microsoft Threat Analysis Center para determinar atribuições de influência. https://go.microsoft.com/fwlink/?linkid=2262095; A diáspora chinesa é frequentemente chama de "chineses no exterior" ou 华侨 (huaqiao) pelo governo chinês, referindo-se àqueles com cidadania ou ascendência chinesa que residem fora da República Popular da China. Para mais detalhes sobre a interpretação de Pequim sobre a diáspora chinesa, veja: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    O governo chinês semeou essa narrativa no início da pandemia de COVID-19, confira: https://go.microsoft.com/fwlink/?linkid=2262170; Sites dentro desta rede que divulgam essa afirmação incluem: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    Defendendo a Ucrânia: as primeiras lições da guerra cibernética, https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    Uma outra interpretação para xuexi qiangguo é "estudar Xi e fortalecer o país". O nome é um jogo de palavras com o sobrenome de Xi Jinping. Instituições governamentais, universidades e empresas na China incentivam fortemente o uso do aplicativo, às vezes constrangendo ou punindo subordinados por não usar com frequência, veja: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    The Paper é propriedade do Shanghai United Media Group, que por sua vez é controlado pelo Comitê do Partido Comunista de Xangai: https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    O Partido Comunista Chinês já investiu em empresas do setor privado que apoiam campanhas de operação de influência por meio de técnicas de manipulação de SEO, curtidas e seguidores falsos, entre outros serviços. Documentos de licitação revelam tais ofertas, veja: https://go.microsoft.com/fwlink/?linkid=2262522

Operações de influência cibernética Relatórios sobre estados-nação do Pacífico Asiático Relatórios sobre estados-nação Phishing Atores de ameaças

Artigos relacionados

Volt Typhoon mira nas infraestruturas críticas dos EUA com técnicas "living-off-the-land"

Volt Typhoon, ator de ameaças patrocinado pelo estado chinês, tem aplicado técnicas furtivas para visar infraestruturas críticas dos EUA, realizar espionagem e permanecer em ambientes comprometidos.
Saiba mais

Propaganda na era digital: como as operações de influência cibernética destroem a confiança

Examine o mundo das operações de influência cibernética, em que os estados-nações distribuem propagandas projetadas para ameaçar as informações confiáveis que a democracia exige para prosperar.
Saiba mais

O Irã aposta em operações de influência cibernética para maior impacto

As Informações sobre ameaças da Microsoft revelaram um aumento nas operações de influência cibernética originárias do Irã. Receba insights sobre ameaças com detalhes sobre novas técnicas e onde há potencial para futuras ameaças.
Saiba mais

Siga a Segurança da Microsoft