Trace Id is missing

Digitala hot från Östasien ökar, både vad gäller bredd och effektivitet

En person som sitter framför en dator

Introduktion

Flera växande trender visar ett snabbt föränderligt hotlandskap i Östasien där Kina utför både omfattande cyber-och påverkansoperationer och nordkoreanska cyberhotsaktörer blir alltmer avancerade.

För det första har kinesiska statligt anslutna cyberhotgrupper uppvisat särskilt fokus på den sydkinesiska havsregionen där man riktar cyberspionage mot myndigheter och andra kritiska enheter som finns i detta havsområde. Under tiden har Kinas inriktning på den amerikanska försvarssektorn och sökandet efter amerikanska infrastruktursignaler använts till att få konkurrensfördelar för Kinas utrikesrelationer och strategiska militära mål.

För det andra har Kina blivit allt effektivare i att få användare att nyttja sociala medier till informationsoperationer under det senaste året. Kinesiska påverkanskampanjer online har länge förlitat sig på volym för att nå användare via nätverk av falska sociala mediekonton. Sedan 2022 har dock kinesiska sociala medienätverk interagerat direkt med autentiska användare på sociala medier. Man har bland annat riktat in sig på specifika kandidater i innehåll om de amerikanska valen där man utgett sig vara amerikanska väljare. Vid sidan av detta har Kinas statliga flerspråkiga initiativ med influerare på sociala medier framgångsrikt nått målgrupper på minst 40 språk och ökat sin målgrupp till drygt 103 miljoner.

För det tredje har Kina fortsatt att skala upp sina kampanjer med informationsoperationer under det senaste året till nya språk och nya plattformar för att öka sin globala närvaro. På sociala medier används tusentals falska konton på dussintals webbplatser och sprider memes, videor och meddelanden på flera språk. I nyhetsmedier online är kinesiska statliga medier taktfulla och effektiva i att positionera sig som en auktoritativ röst i den internationella diskursen om Kina där man använder olika metoder för att utöva påverkan i medier över hela världen. En kampanj spred propaganda från Kinas kommunistiska parti via lokaliserade nyhetswebbplatser som riktades mot den kinesiska diasporan i mer än 35 länder.

Slutligen har vi Nordkorea som till skillnad från Kina saknar möjlighet att vara en avancerad påverkansaktör men förblir ett stort cyberhot. Nordkorea har visat ett fortsatt intresse i informationsinsamling och blivit alltmer taktiskt avancerade genom bland annat omfattande attacker mot försörjningskedjan och stöld av kryptovaluta.

Kinas cyberoperationer har förnyat sitt fokus på Sydkinesiska havet och viktiga branscher i USA

Sedan 2023 har Microsoft Threat Intelligence identifierat tre områden med särskilt fokus för Kina-anslutna cyberhotsaktörer: Sydkinesiska havet, den amerikanska försvarsindustrin och kritisk infrastruktur i USA.

Den kinesiska statligt sponsrade inriktningen återspeglar strategiska mål i Sydkinesiska havet

Kinesiska statsanknutna hotaktörer uppvisar ett fortsatt intresse av Sydkinesiska havet och Taiwan, vilket återspeglar Kinas omfattande ekonomiska, försvarsmässiga och politiska intressen i denna region.1 Motstridiga territoriella anspråk, växande spänningar över sundet och en ökad amerikansk militär närvaro är samtliga möjliga motiv till Kinas offensiva cyberaktiviteter.2

Microsoft har identifierat Raspberry Typhoon (RADIUM) som den primära hotgruppen mot de nationer som finns runt Sydkinesiska havet. Raspberry Typhoon inriktar sig konsekvent på ministerier, militära enheter och företag som är anslutna till kritisk infrastruktur, i synnerhet inom telekom. Sedan januari 2023 har Raspberry Typhoon varit särskilt ihärdiga. Raspberry Typhoon utför vanligtvis informationsinsamling och använder sig av skadlig programvara vid inriktningen på ministerier och infrastruktur. I många länder varierar målen mellan försvars- och informationsrelaterade ministerier och ekonomi- och handelsrelaterade ministerier.

Flax Typhoon (Storm-0919) är den mest framträdande hotgrupp som har riktat in sig på Taiwan. Gruppen har främst fokus på telekommunikation, utbildning, informationsteknik och energiinfrastruktur, där man oftast använder en anpassad VPN-installation som upprättar en omedelbar närvaro i målnätverket. På liknande sätt riktar Charcoal Typhoon (CHROMIUM) in sig på taiwanesiska utbildningsinstitutioner, energiinfrastruktur och högteknologisk tillverkning. Under 2023 riktade både Charcoal Typhoon och Flax Typhoon in sig på taiwanesisk flygindustri som har avtal med den taiwanesiska militären.

Karta över den sydkinesiska havsregionen med iakttagna händelser per land
Bild 1: Iakttagna händelser per land i Sydkinesiska havet från januari 2022 till april 2023. Läs mer om den här bilden på sidan 4 i den fullständiga rapporten

Kinesiska hotaktörer vänder sin uppmärksamhet mot Guam när USA upprättar en bas för marinkåren där

Flera Kina-baserade hotgrupper fortsätter att rikta in sig på den amerikanska försvarsindustrin, i synnerhet Circle Typhoon (DEV-0322), Volt Typhoon (DEV-0391) och Mulberry Typhoon (MANGANESE). Även om inriktningen för dessa tre grupper ibland överlappar varandra är de separata aktörer med olika infrastruktur och möjligheter.3

Circle Typhoon har en omfattande cyberaktivitet mot den amerikanska försvarsindustrin med bland annat resursutveckling, insamling, initial åtkomst och tillgång till autentiseringsuppgifter. Circle Typhoon använder ofta VPN-installationer vid inriktningen mot IT och USA-baserade försvarsleverantörer. Volt Typhoon har också rekognoserat ett flertal amerikanska försvarsleverantörer. Guam är ett av de vanligaste målen för dessa kampanjer, i synnerhet de företag inom satellitkommunikation och telekommunikation som finns där.4

En vanlig taktik för Volt Typhoon är att kompromettera mindre kontors- och hemmaroutrar, vanligtvis för att skapa infrastruktur.5 Mulberry Typhoon har också riktat in sig på den amerikanska försvarsindustrin, främst med dag-nollattacker mot enheter.6 Den ökade inriktningen mot Guam är betydelsefull med tanke på dess position som det amerikanska territorium som är närmast Östasien och är avgörande för den amerikanska strategin i regionen.

Kinesiska hotgrupper riktar in sig mot amerikansk kritisk infrastruktur

Microsoft har sett att kinesiska statliga hotgrupper inriktar sig på olika sektorer inom amerikansk kritisk infrastruktur och en avsevärd resursutveckling under de senaste sex månaderna. Volt Typhoon har varit den primära gruppen bakom denna aktivitet minst sedan sommaren 2021 och omfattningen av denna aktivitet är fortfarande inte helt känd.

Sektorer som omfattas kan vara transport (t.ex. hamnar och järnväg), allmännyttig verksamhet (t.ex. energi och vattenrening), medicinsk infrastruktur (däribland sjukhus) och infrastruktur för telekommunikation (däribland satellitkommunikation och fiberoptiksystem). Microsoft bedömer att denna kampanj skulle kunna ge Kina möjlighet att störa kritisk infrastruktur och kommunikation mellan USA och Asien.7

Kina-baserade hotgrupper har riktat in sig på cirka 25 organisationer, där bland annat amerikanska statliga enheter ingår

Den 15 maj började Storm-0558, en Kina-baserad hotaktör, använda falska autentiseringstokens för att få åtkomst till e-postkonton för Microsofts kunder i cirka 25 organisationer, däribland amerikanska och europeiska statliga myndigheter.8 Microsoft har blockerat denna kampanj. Målet med attacken var att få obehörig åtkomst till e-postkonton. Microsoft bedömer att denna aktivitet ingick i spionagemålen för Storm-0558. Storm-0558 har tidigare riktat in sig på amerikanska och europeiska diplomatenheter.

Kina riktar även in sig på sina strategiska partners

Vartefter Kina har ökat sina bilaterala relationer och globala partnerskap via BRI (Belt and Road Initiative) har kinesiska statliga hotaktörer utfört parallella cyberoperationer mot privata och offentliga enheter runt om i världen. Kina-baserade hotgrupper riktar in sig på länder som följer Kinas kommunistiska partis BRI-strategi, exempelvis enheter i Kazakstan, Namibia och Vietnam.9 Samtidigt är den omfattande kinesiska hotaktiviteten ständigt riktad mot utländska ministerier i Europa, Latinamerika och Asien – sannolikt för ekonomiskt spionage eller informationsinsamling.10 I takt med att Kina utökar sin globala påverkan kommer anslutna hotgruppers aktiviteter att följa. Så sent som i april 2023 komprometterade Twill Typhoon (TANTALUM) framgångsrikt myndigheters datorer i Afrika och Europa samt humanitära organisationer globalt.

Sociala medieoperationer som är anpassade till Kinas kommunistiska parti ökar målgruppsengagemanget på ett effektivt sätt

Hemliga påverkansoperationer som är kopplade till Kinas kommunistiska parti har nu börjat engagera målgrupper på sociala medier i en högre utsträckning än vad man tidigare har sett och man kan se mer avancerade och utvecklade onlinetillgångar för informationsoperationer. Inför mellanårsvalet i USA 2022 upptäckte Microsoft och dess branschpartners sociala mediekonton med kopplingar till Kinas kommunistiska parti som utgav sig för att vara amerikanska väljare – ett nytt tillvägagångssätt för sådana informationsoperationer.11 Dessa konton utgav sig vara amerikanska i hela det politiska spektrumet och svarade på kommentarer från autentiska användare.

Både när det gäller beteende och innehåll uppvisar dessa konton många väldokumenterade taktiker, tekniker och procedurer (TTP) för kinesiska informationsoperationer. Exempel kan vara konton som först har publicerat inlägg på mandarin innan de växlar till ett annat språk, användning av innehåll från andra Kina-anpassade tillgångar direkt efter publiceringen och användning av ett ”seed and amplifier”-mönster vid interaktioner.12 Till skillnad från tidigare informationsoperationskampanjer från aktörer som är kopplade till Kinas kommunistiska parti där lättupptäckta datorgenererade referenser, visningsnamn och profilbilder användes13, är detta mer avancerade konton som styrs av verkliga personer med fiktiva eller stulna identiteter som döljer kontots koppling till Kinas kommunistiska parti.

Sociala mediekonton i detta nätverk uppvisar liknande beteenden som aktiviteter som anses ha utförts av en expertgrupp inom ministeriet för offentlig säkerhet, även kallad 912 Special Working Group. Enligt USA:s justitiedepartement har gruppen använt en trollfabrik för sociala medier som har skapat tusentals falska onlineprofiler och publicerat propaganda från Kinas kommunistiska parti till prodemokratiska aktivister.

Sedan mars 2023 har vissa misstänkta kinesiska informationsoperationer i västerländska sociala medier börjat använda generativ AI till att skapa visuellt innehåll. Den relativt höga kvaliteten på det visuella innehållet har redan skapat högre engagemangsnivåer från autentiska sociala medieanvändare. Bilderna bär kännetecknen för diffusionsstyrd bildgenerering och är mer iögonfallande än det visuella innehållet i tidigare kampanjer som var av lägre kvalitet. Användare har oftare återpublicerat dessa visuella objekt trots tecken på AI-generering – exempelvis att en persons hand har fler än fem fingrar.14

Sociala medier-inlägg sida vid sida som visar identiska Black Lives Matter-bilder.
Bild 2: En Black Lives Matter-bild som först laddades upp av ett automatiskt konto med koppling till Kinas kommunistiska parti, laddades sju timmar senare upp av ett konto som utgav sig för att vara en konservativ amerikansk väljare.
En AI-genererad propagandabild av frihetsgudinnan.
Bild 3: Exempel på en AI-genererad bild som publicerats i en misstänkt kinesisk informationsoperation. Frihetsgudinnans hand som håller facklan har mer än fem fingrar. Läs mer om den här bilden på sidan 6 i den fullständiga rapporten.
Matris med fyra kategorier av influerare – journalister, livsstilsinfluerare, kollegor och etniska minoriteter – i ett spektrum från öppna till dolda profiler
Bild 4: Initiativet består av influerare som tillhör någon av fyra kategorier baserat på deras bakgrund, målgrupper, rekrytering och ledningsstrategier. Alla personer som ingår i vår analys har en direkt koppling till kinesiska statliga medier (exempelvis via anställning, godkända reseinbjudningar eller ekonomisk ersättning). Läs mer om den här bilden på sidan 7 i den fullständiga rapporten.

Initiativ för influerare inom kinesiska statliga medier

En annan strategi som skapat ett stort engagemang på sociala medier är Kinas kommunistiska partis koncept med ”flerspråkiga kändisstudior på internet” (多语种网红工作室).15 Genom att använda kraften i autentiska röster har drygt 230 statliga medieanställda och anslutna framställts som fristående influerare på sociala medier på alla större västerländska sociala medieplattformar.16 Under 2022 och 2023 fortsatte nya influerare att dyka upp var sjunde vecka i genomsnitt. Dessa influerare rekryteras, utbildas, marknadsförs och finansieras av China Radio International (CRI) och andra kinesiska statliga medier och sprider sakkunnigt lokaliserad propaganda för Kinas kommunistiska parti som skapar ett engagemang med målgrupper i hela världen med minst 103 miljoner följare på olika plattformar och minst 40 språk.

Trots att influerare oftast publicerar harmlöst livsstilsinnehåll döljer denna teknik propaganda som är anpassad till Kinas kommunistiska parti som syftar till att göra bilden av Kina utomlands mer attraktiv.

Rekryteringsstrategin för influerare hos kinesiska statliga medier verkar vända sig till två tydliga grupper av personer: de med erfarenhet från journalistik (i synnerhet inom statliga medier) och nyutexaminerade från utländska språkprogram. I synnerhet verkar China Media Group (moderbolaget för CRI och CGTN) direktrekrytera studenter från de främsta kinesiska utländska språkskolorna som Beijing Foreign Studies University och Communication University of China. De som inte direktrekryteras från universiteten är ofta före detta journalister och översättare som avlägsnar tydliga tecken på statlig medietillhörighet från sina profiler efter att de har profilerats om till influerare.

Laotalande influeraren Song Siao publicerar en livsstilsvlogg där Kinas ekonomiska återställning under covid-19-pandemin diskuteras.
Bild 5: Laotalande influeraren Song Siao publicerar en livsstilsvlogg där Kinas ekonomiska återställning under covid-19-pandemin diskuteras. I den egenfilmade videon besöker han en bilförsäljare i Peking och pratar med lokalbefolkningen. Läs mer om den här bilden på sidan 8 i den fullständiga rapporten
Inlägg på sociala medier från Techy Rachel, en engelskspråkig influerare.
Bild 6: Techy Rachel, en engelskspråkig influerare som vanligtvis publicerar inlägg om kinesiska innovationer och teknik, avviker från sitt vanliga innehåll för att komma med sin åsikt i debatten om den kinesiska spionballongen. Precis som andra kinesiska statliga medier förnekar hon att ballongen var avsedd för spionage. Läs mer om den här bilden på sidan 8 i den fullständiga rapporten

Influerare når målgrupper i hela världen på minst 40 språk

Den geografiska spridningen av språk som talas av dessa statligt anknutna influerare visar Kinas växande globala påverkan och regionala prioriteringar. Influerare som talar andra asiatiska språk förutom kinesiska – exempelvis hindi, singalesiska, pashto, lao, koreanska, malajiska och vietnamesiska – utgör det största antalet influerare. Engelsktalande influerare utgör det näst högsta antalet influerare.
Fem cirkeldiagram som visar kinesiska statliga medieinfluerare uppdelade per språk.
Bild 7: Kinesiska statliga medieinfluerare uppdelade per språk. Läs mer om den här bilden på sidan 9 i den fullständiga rapporten

Kina riktar sig mot målgrupper över hela världen

Influerarna riktar sig mot sju målgrupper (språkgrupperingar) som är uppdelade i geografiska regioner. Inga diagram visas för engelsk- eller kinesiskspråkiga målgrupper.

Kinesiska informationsoperationer ökar den globala räckvidden i flera olika kampanjer

Kina har ytterligare utökat omfattningen av sina informationsoperationer online under 2023 genom att nå målgrupper på nya språk och nya plattformar. Dessa operationer kombinerar ett styrt och öppet statligt mediemaskineri med dolda eller maskerade sociala medier, exempelvis robotar, som tvättar och förstärker de narrativ som Kinas kommunistiska parti föredrar.17

Microsoft upptäckte en sådan kampanj som startade i januari 2022 och var kopplad till Kinas kommunistiska parti. Den pågår fortfarande när detta skrivs och riktar sig mot den spanska icke-statliga organisationen Safeguard Defenders efter att den påvisade förekomsten av drygt 50 kinesiska polisstationer utomlands.18 Kampanjen använde sig av drygt 1 800 konton på olika sociala medieplattformar och dussintals webbplatser som spred Kinas kommunistiska partianpassade memes, videor och meddelanden där USA och andra demokratier kritiserades.

Dessa konton skickade meddelanden på nya språk (nederländska, grekiska, indonesiska, svenska, turkiska, uiguriska m.fl.) och på nya plattformar (däribland Fandango, Rotten Tomatoes, Medium, Chess.com och VK). Trots omfattningen och varaktigheten för operationen publicerar den sällan något meningsfullt engagemang från autentiska användare, vilket visar den rudimentära naturen i denna kinesiska nätverksaktivitet.

En matris med 30 välkända tekniklogotyper som visas bredvid en lista med 16 språk
Bild 8: Innehåll i informationsoperationer som är anpassade till Kinas kommunistiska parti har upptäckts på många plattformar och många språk. Läs mer om den här bilden på sidan 10 i den fullständiga rapporten
Skärmbilder sida vid sida som visar exempel på taiwanesisk videopropaganda
Bild 9: En stor mängd delningar av inlägg från en taiwanesisk video som uppmanar den taiwanesiska regeringen att ”kapitulera” till Peking. Den stora skillnaden mellan annonsvisningar och delningar är mycket tydlig vid samordnade informationsoperationsaktiviteter. Läs mer om den här bilden på sidan 10 i den fullständiga rapporten

Ett förtäckt globalt nätverk med nyhetswebbplatser som är kopplade till Kinas kommunistiska parti

En annan digital mediekampanj som visar den utökade bredden i informationsoperationer som är kopplade till Kinas kommunistiska parti, är ett nätverk med drygt 50 i huvudsak kinesiskspråkiga nyhetswebbplatser som stöder Kinas kommunistiska partis uppsatta mål att vara den auktoritativa rösten för alla kinesiskspråkiga medier globalt.19 Trots att de presenteras som i huvudsak oberoende och fristående webbplatser som riktar sig till olika kinesiska diasporagrupper globalt, bedömer vi att dessa webbplatser med hög sannolikhet är kopplade till den centrala avdelningen för enhetsfronten (UFWD) inom Kinas kommunistiska parti – ett organ som är ansvarigt för att stärka Kinas kommunistiska partis påverkan utanför Kinas gränser, i synnerhet via kontakter med kineser utomlands – baserat på tekniska indikatorer, information om webbplatsregistreringar och delat innehåll.20
Världskarta med drygt 20 logotyper för kinesiska webbplatser som riktar sig mot den globala kinesiska diasporan.
Bild 10: Karta över webbplatser som riktar sig mot den globala kinesiska diaspora som vi bedömer ingår i denna mediestrategi.  Läs mer om den här bilden på sidan 11 i den fullständiga rapporten

Eftersom många av dessa webbplatser har samma IP-adress har sökningar efter domäner med Microsoft Defender Hotinformation inneburit att vi har upptäckt fler webbplatser i nätverket. Många av webbplatserna har samma HTML-klientkod där till och med webbutvecklarnas kommentarer som bäddats in i koden ofta kan vara identiska på olika webbplatser. Drygt 30 av webbplatserna använder samma API och innehållshanteringssystem från ett ”helägt dotterbolag” till China News Service (CNS), dvs. UFWD:s mediebyrå.21 Register från Kinas industri- och informationstekniska ministerium visar dessutom att bland annat detta UFWD-kopplade teknikföretag har registrerat minst 14 nyhetswebbplatser i nätverket.22 Genom att använda dotterbolag och medieföretag från tredje part på detta sätt kan UFWD nå en global målgrupp samtidigt som man döljer sin direkta inblandning.

Dessa webbplatser framställer sig som oberoende nyhetsleverantörer samtidigt som man frekvent återpublicerar samma kinesiska statliga medieartiklar och ofta säger sig vara den ursprungliga innehållskällan. Samtidigt som webbplatserna har en bred täckning av internationella nyheter och publicerar allmänna kinesiska statliga medieartiklar, anpassas politiskt känsliga ämnen till de narrativ som Kinas kommunistiska parti föredrar. Exempelvis innehåller flera hundra artiklar inom webbplatsnätverket falska uttalanden om att covid-19-viruset är ett biologiskt vapen som har tillverkats vid det amerikanska militära biologiska forskningslaboratoriet i Fort Detrick.23 Webbplatserna sprider också ofta uttalanden från kinesiska myndighetstjänstemän och statliga medieartiklar som påstår att covid-19 har sitt ursprung i USA istället för Kina. Dessa webbplatser exemplifierar i hur hög grad Kinas kommunistiska partis styrning har genomsyrat den kinesiskspråkiga mediemiljön där partiet döljer kritisk rapportering av känsliga ämnen.

Ackorddiagram med överlappande artiklar som publicerats av flera webbplatser.
Bild 11: Webbplatser presenteras som unika men har identiskt innehåll. Ackorddiagrammet visar överlappande artiklar som har publicerats av flera webbplatser. Läs mer om den här bilden på sidan 12 i den fullständiga rapporten
Skärmbilder av hur en artikel från China News Service publicerades på nytt på webbplatser med målgrupper i Italien, Ungern, Ryssland och Grekland
Bild 12: China News Service och andra kinesiska statliga medier publicerade en artikel med rubriken ”Statement from the WHO exposes dark US biolaboratories in Ukraine”. Artikeln publicerades sedan på webbplatser med målgrupper i Ungern, Sverige, Västafrika och Grekland. Läs mer om den här bilden på sidan 12 i den fullständiga rapporten

Global räckvidd för kinesiska statliga medier

Även om kampanjen ovan är anmärkningsvärd för sin obfuskering, står vedertagna kinesiska statliga mediewebbplatser för den största mängden globala visningar av media som styrs av Kinas kommunistiska parti. Genom att börja använda främmande språk24 och öppna kinesiska statliga mediebyråer utomlands 25 med fritt Pekingvänligt innehåll, 26 har Kinas kommunistiska parti utökat räckvidden för sin ”diskurskraft” (话语权) genom att kunna inkludera propaganda i nyhetsmedier i länder runt om i världen.27
Ett organisationsschema som visar en ögonblicksbild av Kinas kommunistiska partis öppna propagandaekosystem.
Bild 13: Organisationsschema som visar en ögonblicksbild av de funktioner och enheter som utgör en del av Kinas kommunistiska partis öppna propagandaekosystem. Läs mer om den här bilden på sidan 13 i den fullständiga rapporten

Mäta trafik till kinesiska statliga mediewebbplatser

Microsofts AI for Good-labb har utvecklat ett index som mäter trafikflödet från användare utanför Kina till kanaler som majoritetsägs av den kinesiska regeringen. Indexet mäter andelen trafik på dessa webbplatser med den övergripande trafiken på Internet, som t.ex. Russian Propaganda Index (RPI) som infördes juni 2022.28

Fem domäner dominerar kinesiska statliga medier och står för cirka 60 % av alla kinesiska statliga sidvisningar.

Bild som visar användningen av kinesiska medier
Läs mer om den här bilden på sidan 14 i den fullständiga rapporten

Indexet kan belysa trender i den relativa framgången för kinesiska statliga medier per geografiskt område över tid. Bland medlemsstaterna i Sydostasiatiska nationers förbund (Asean) sticker exempelvis Singapore och Laos ut med mer än den dubbla relativa trafiken till kinesiska statliga mediewebbplatser jämfört med tredjerankade Brunei. Filippinerna rankas lägst med 30 x mindre trafik till kinesiska statliga mediewebbplatser än Singapore och Laos. I Singapore där mandarin är ett officiellt språk visar en hög användning av kinesiska statliga medier Kinas påverkan på mandarinspråkliga nyheter. I Laos är antalet kinesisktalande mycket färre vilket visas i den relativa framgången för kinesiska statliga medier i landets miljö.

Skärmbild av startsidan till den mest besökta domänen, PhoenixTV.
Bild 14: Startsida för den mest besökta domänen, PhoenixTV, med 32 % av alla sidvisningar. Läs mer om den här bilden på sidan 14 i den fullständiga rapporten

De mer avancerade nordkoreanska cyberoperationerna samlar information och genererar intäkter till staten

Nordkoreanska cyberhotsaktörer fortsätter med sina cyberoperationer i syfte att (1) samla in information om aktiviteterna hos statens uppfattade motståndare: Sydkorea, USA och Japan, (2) samla in information om andra länders militära möjligheter för att förbättra sina egna, och (3) samla in kryptovalutafinansiering till staten. Under det senaste året har Microsoft sett större överlappningar bland specifika nordkoreanska hotaktörer och alltmer avancerade nordkoreanska aktivitetsgrupper.

Nordkoreas cyberprioriteringar lägger tonvikt vid den maritima teknikforskningen med testning av undervattensdrönare och fordon

Under det senaste året har Microsoft Threat Intelligence sett större överlappningar hos nordkoreanska hotaktörer. Exempelvis riktade tre nordkoreanska hotaktörer – Ruby Sleet (CERIUM), Diamond Sleet (ZINC) och Sapphire Sleet (COPERNICIUM) – sig mot sjöfarts- och varvssektorn från november 2022 till januari 2023. Microsoft har inte tidigare sett denna nivå av överlappningar bland flera nordkoreanska aktivitetsgrupper, vilket tyder på att den maritima teknikforskningen var en viktig prioritering för den nordkoreanska regeringen vid den tidpunkten. I mars 2023 provsköt Nordkorea två strategiska kryssningsmissiler från en u-båt mot Japanska havet (även kallat Östhavet) som en varning inför USA:s och Sydkoreas militära övning Freedom Shield. Senare den månaden och nästa påstods Nordkorea testa två Haeil-undervattensdrönare från landets östra kust mot Japanska havet. Dessa militära tester till havs inträffade kort efter att tre nordkoreanska cybergrupper riktat in sig mot flottans enheter för informationsinsamling.

Hotaktörer komprometterar försvarsföretag när Nordkoreas regim anger högprioriterade insamlingskrav

Från november 2022 till januari 2023 såg Microsoft en annan förekomst av överlappningar när Ruby Sleet och Diamond Sleet komprometterade försvarsföretag. De två hotaktörerna komprometterade två vapentillverkningsföretag i Tyskland och Israel. Detta tyder på att den nordkoreanska regeringen tilldelar olika hotaktörsgrupper samtidigt för att uppfylla högprioriterade insamlingskrav och förbättra landets militära möjligheter. Sedan januari 2023 har Diamond Sleet också komprometterat försvarsföretag i Brasilien, Tjeckien, Finland, Italien, Norge och Polen.
Cirkeldiagram som visar de försvarsindustrier per land som Nordkorea främst riktar sig mot
Bild 15: Nordkorea inriktning mot försvarsindustrin per land från mars 2022 till mars 2023

Den ryska regeringen och försvarsindustrierna förblir mål för Nordkoreas informationsinsamling

Flera nordkoreanska hotaktörer har nyligen riktat sig mot den ryska regeringen och försvarsindustrin samtidigt som man ger materiellt stöd till Ryssland i dess krig mot Ukraina.32 I mars 2023 komprometterade Ruby Sleet ett forskningsinstitut för luftfart i Ryssland. Dessutom komprometterade Onyx Sleet (PLUTONIUM) en enhet som tillhörde ett universitet i Ryssland i början av mars. Vid sidan om detta skickade ett attackkonto som tillhör Opal Sleet (OSMIUM) nätfiskemeddelanden till konton som tillhörde ryska diplomatiska myndighetsenheter under samma månad. Nordkoreanska hotaktörer kan dra nytta av möjligheten till informationsinsamling från ryska enheter tack vare landets fokus på kriget i Ukraina.

Nordkoreanska grupper uppvisar mer avancerade operationer via stöld av kryptovalutor och attacker mot försörjningskedjor

Microsoft bedömer att nordkoreanska aktivitetsgrupper utför alltmer avancerade operationer via stöld av kryptovalutor och attacker mot försörjningskedjan. I januari 2023 gick FBI (Federal Bureau of Investigation) ut offentligt med att stölden i juni 2022 av 100 miljoner USD i kryptovaluta från Harmony's Horizon Bridge utfördes av Jade Sleet (DEV-0954), även kallad Lazarus Group/APT38.33 Microsoft tillskrev dessutom Citrine Sleet (DEV-0139) attacken mot försörjningskedjan 3CX i mars 2023 som utnyttjade en tidigare kompromettering av försörjningskedjan hos ett USA-baserat företag inom finansiell teknik 2022. Det här var första gången som Microsoft såg att en aktivitetsgrupp använde en befintlig kompromettering av en försörjningskedja till att utföra en annan attack, vilket visar att de nordkoreanska cyberoperationerna blir alltmer avancerade.

Emerald Sleet använder en beprövad spjutfisketeknik som lurar experter att svara med insikter om utländsk politik

Emerald Sleet (THALLIUM) fortsätter vara den mest aktiva nordkoreanska hotaktören som Microsoft har spårat under det senaste året. Emerald Sleet skickar fortfarande frekventa spjutfiskemeddelanden till experter från koreahalvön runt om i världen för informationsinsamling. I december 2022 beskrev Microsoft Threat Intelligence Emerald Sleets nätfiskekampanjer som riktats mot inflytelserika nordkoreanska experter i USA och USA-allierade länder. I stället för att sprida skadliga filer eller länkar till skadliga webbplatser upptäckte Microsoft att Emerald Sleet använder en unik taktik: man utger sig för att vara välrenommerade akademiska institutioner och icke-statliga organisationer i syfte att lura offer att svara med expertinsikter och kommentarer om utländsk politik avseende Nordkorea.

Funktioner: Påverkan

Nordkorea har utfört begränsade påverkansoperationer på sociala medieplattformar för videodelning som YouTube och TikTok under det senaste året.34 Nordkoreanska influerare på YouTube är främst flickor och kvinnor, vissa så unga som elva år, som publicerar vloggar om sitt dagliga liv och lyfter fram positiva narrativ om regimen. Vissa influerare talar engelska i sina videor för att nå en bredare global målgrupp. Nordkoreanska influerare är inte lika effektiva som influerare som stöds av den kinesiska staten.

I framtiden ser vi att geopolitiska spänningar kan utlösa cyberaktivitet och påverkansoperationer

Kina har fortsatt utöka sina cybermöjligheter under de senaste åren och visat större ambition i sina informationsoperationer. Inom en nära framtid kommer Nordkorea fortsätta vara fokuserade på mål som avser dess politiska, ekonomiska och försvarsmässiga intressen i regionen. Vi kan förvänta oss bredare cyberspionage mot både motståndare och supportrar för Kinas kommunistiska partis geopolitiska mål på varje kontinent. Även om Kina-baserade hotgrupper fortsätter att utveckla och använda sig av imponerande cybermöjligheter, har vi inte sett att Kina kombinerar cyber- och påverkansåtgärder – till skillnad från Iran och Ryssland som använder hack-and-leak-kampanjer.

Genom att verka i en omfattning som inte kan matchas av några andra skadliga påverkansaktörer kommer kinesiska aktörer att kunna dra nytta av flera viktiga trender och händelser under de kommande sex månaderna.

För det första kommer operationer med video och visuella medier att bli normen. Nätverk som är kopplade till Kinas kommunistiska parti har länge använt AI-genererade profilbilder och det här året har man infört AI-genererad konst för visuella memes. Statligt stödda aktörer kommer också fortsätta att använda privata innehållsstudior och PR-byråer till att sprida propaganda på begäran.35

För det andra kommer Kina fortsätta söka autentiskt målgruppsengagemang där man lägger tid och resurser på upparbetade sociala medietillgångar. Influerare med djupgående kulturell och språklig kunskap och högkvalitativt videoinnehåll har varit pionjärer för ett framgångsrikt socialt medieengagemang. Kinas kommunistiska parti kommer att tillämpa en viss del av denna taktik, exempelvis genom att interagera med sociala medieanvändare och visa kulturell kunskap, för att stärka sina dolda sociala mediekampanjer.

För det tredje kommer Taiwan och USA troligen att vara de främsta två prioriteringarna för kinesiska informationsoperationer, i synnerhet med tanke på kommande val i båda länderna under 2024. Med tanke på att Kinas kommunistiska partianpassade influeraraktörer har riktat sig mot amerikanska val tidigare är det så gott som säkert att de gör detta igen. Sociala medietillgångar som utger sig för att vara amerikanska väljare kommer troligen att vara ännu mer avancerade, där man aktivt sprider motsättningar i rasmässiga, socioekonomiska och ideologiska uppfattningar med innehåll som är skarpt kritiskt mot USA.

  1. [2]

    Nya baser på Filippinerna ökar USA:s militära närvaro i regionen, https://go.microsoft.com/fwlink/?linkid=2262254

  2. [3]

    För närvarande finns det inte tillräckligt med belägg för att kunna koppla ihop grupperna.

  3. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; Sådana influeraraktörer kallas ibland för ”Spamouflage Dragon” eller ”DRAGONBRIDGE”.
  4. [20]

    Se: Microsoft Threat Analysis Centers ramverk för att fastställa påverkan. https://go.microsoft.com/fwlink/?linkid=2262095; Den kinesiska diasporan kallas vanligtvis för ”kineser utomlands” eller 华侨 (huaqiao) av den kinesiska regeringen, där man avser personer med kinesiskt medborgarskap eller arv som bor utanför Kina. Mer information om Pekings tolkning av den kinesiska diasporan finns i: https://go.microsoft.com/fwlink/?linkid=2262777

  5. [23]

    Den kinesiska regeringen offentliggjorde detta narrativ i början av covid-19-pandemin, se: https://go.microsoft.com/fwlink/?linkid=2262170; Webbplatser inom detta nätverk som stödjer uttalandet är bl.a.: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  6. [28]

    Att försvara Ukraina: Tidiga lärdomar av cyberkriget, https://go.microsoft.com/fwlink/?linkid=2262441

  7. [30]

    En annan tolkning av xuexi qiangguo är ”Study Xi, Strengthen the Country”. Namnet är en ordlek på Xi Jinpings efternamn. Myndigheter, universitet och företag i Kina främjar starkt användningen av appen och kan ibland straffa anställda som inte använder den tillräckligt mycket, se: https://go.microsoft.com/fwlink/?linkid=2262362

  8. [31]

    Tidningen ägs av Shanghai United Media Group, som i sin tur ägs av Shanghai Communist Party Committee: https://go.microsoft.com/fwlink/?linkid=2262098

  9. [35]

    Kinas kommunistiska parti har tidigare investerat i privata företag som stöder informationsoperationskampanjer via SEO-manipulering, falska gilla-markeringar och följare samt andra tjänster. Upphandlingsdokument kan avslöja sådana bud, se: https://go.microsoft.com/fwlink/?linkid=2262522

Relaterade artiklar

Volt Typhoon attackerar kritisk amerikansk infrastruktur med hjälp av LOTL-tekniker (Living-Off-the-Land)

Den kinesiska statsfinansierade hotaktören Volt Typhoon har visat sig använda dolda tekniker för att infiltrera kritisk amerikansk infrastruktur, bedriva spionage och uppehålla sig i komprometterade miljöer.

Propaganda i den digitala tidsåldern: Så här urholkar cyberpåverkansoperationer förtroendet

Undersök världen av cyberpåverkansoperationer, där nationalstater distribuerar propaganda utformad för att undergräva den pålitliga information som demokratin behöver för sin överlevnad och för att frodas.

Iran satsat på cyberaktiverade påverkansåtgärder eftersom de ger större effekt

Microsoft Threat Intelligence har avslöjat ett växande antal cyberaktiverade påverkanskampanjer från Iran. Få hotinsikter med information om nya tekniker och var potentialen för framtida hot ligger.

Följ Microsoft Security