Trace Id is missing

Mục tiêu cũ, kỹ thuật mới: Các tác nhân đe dọa ở Đông Á sử dụng các phương pháp riêng

Tải xuống
Chia sẻ
Hình minh họa trừu tượng về một con tàu hải quân với các hình tròn màu đỏ đồ họa và các phần tử lưới đen trên nền màu hồng.

Microsoft đã quan sát thấy một số xu hướng gây ảnh hưởng và trên mạng đáng chú ý từ Trung Quốc và Triều Tiên kể từ tháng 6 năm 2023, cho thấy chúng không chỉ tăng gấp đôi các mục tiêu quen thuộc mà còn cố gắng sử dụng các kỹ thuật gây ảnh hưởng tinh vi hơn để đạt được mục tiêu của mình.

Các tác nhân trên mạng của Trung Quốc đã lựa chọn ba khu vực mục tiêu rộng lớn trong bảy tháng qua:

  • Một nhóm tác nhân Trung Quốc nhắm mục tiêu rộng lớn vào các tổ chức trên khắp Quần đảo Nam Thái Bình Dương.
  • Nhóm hoạt động thứ hai của Trung Quốc tiếp tục một chuỗi tấn công qua mạng nhằm vào các đối thủ trong khu vực Biển Đông.
  • Trong khi đó, nhóm tác nhân thứ ba của Trung Quốc đã xâm phạm cơ sở công nghiệp quốc phòng Hoa Kỳ.

Những tác nhân gây ảnh hưởng của Trung Quốc – thay vì mở rộng phạm vi địa lý nhắm mục tiêu – đã trau dồi kỹ thuật và thử nghiệm các phương tiện truyền thông mới. Các chiến dịch gây ảnh hưởng của Trung Quốc tiếp tục cải tiến nội dung do AI tạo ra hoặc được nâng cao bởi AI. Những tác nhân gây ảnh hưởng đằng sau các chiến dịch này đã thể hiện ý chí khuếch đại nội dung đa phương tiện do AI tạo ra để phục vụ lợi ích của các câu chuyện chiến lược, cũng như tạo nội dung video, meme và âm thanh riêng của họ. Những chiến thuật như vậy đã được sử dụng trong các chiến dịch gây chia rẽ bên trong Hoa Kỳ và làm trầm trọng thêm những rạn nứt ở khu vực châu Á – Thái Bình Dương – bao gồm Đài Loan, Nhật Bản và Hàn Quốc. Các chiến dịch này đã đạt được mức độ cộng hưởng khác nhau mà không có công thức riêng nào để tạo ra sự tương tác nhất quán của người xem.

Các tác nhân trên mạng của Triều Tiên đã gây chú ý khi gia tăng các cuộc tấn công vào chuỗi cung ứng phần mềm và các vụ trộm tiền điện tử trong năm qua. Trong khi các chiến dịch tấn công lừa đảo chiến lược nhắm vào các nhà nghiên cứu thực hiện nghiên cứu về Bán đảo Triều Tiên vẫn là xu hướng không đổi, các tác nhân đe dọa Triều Tiên dường như sử dụng nhiều hơn phần mềm hợp pháp để tấn công nhiều nạn nhân hơn.

Gingham Typhoon nhắm mục tiêu vào các tổ chức chính phủ, CNTT và đa quốc gia trên khắp Quần đảo Nam Thái Bình Dương

Vào mùa hè năm 2023, Microsoft Threat Intelligence đã quan sát thấy hoạt động trên diện rộng của nhóm gián điệp Gingham Typhoon có trụ sở tại Trung Quốc nhắm vào hầu hết các quốc đảo Nam Thái Bình Dương. Gingham Typhoon là tác nhân tích cực nhất trong khu vực này, tấn công các tổ chức quốc tế, tổ chức chính phủ và lĩnh vực CNTT bằng các chiến dịch lừa đảo phức tạp. Nạn nhân cũng bao gồm những người chỉ trích mạnh mẽ chính phủ Trung Quốc.

Các đồng minh ngoại giao của Trung Quốc là nạn nhân của hoạt động Gingham Typhoon gần đây bao gồm các văn phòng điều hành trong chính phủ, các bộ phận liên quan đến thương mại, nhà cung cấp dịch vụ internet cũng như đơn vị vận tải.

Cạnh tranh địa chính trị và ngoại giao gia tăng trong khu vực có thể là động lực cho các hoạt động tấn công qua mạng này. Trung Quốc theo đuổi quan hệ đối tác chiến lược với các quốc đảo Nam Thái Bình Dương để mở rộng quan hệ kinh tế và làm trung gian cho các thỏa thuận ngoại giao và an ninh. Hoạt động gián điệp trên mạng của Trung Quốc tại khu vực này cũng theo chân các đối tác kinh tế.

Ví dụ, các tác nhân Trung Quốc tham gia vào việc nhắm mục tiêu quy mô lớn vào các tổ chức đa quốc gia ở Papua New Guinea, một đối tác ngoại giao lâu năm đang được hưởng lợi từ nhiều dự án Sáng kiến ​​Vành đai và Con đường (BRI), bao gồm việc xây dựng một đường cao tốc lớn nối tòa nhà chính phủ Papua New Guinea với con đường chính của thủ đô.1

Bản đồ minh họa tần suất các mối đe dọa trên mạng có chủ đích diễn ra tại các quốc đảo trong khu vực Thái Bình Dương, với các vòng tròn lớn hơn
Hình 1: Các sự kiện quan sát được từ Gingham Typhoon từ tháng 6 năm 2023 đến tháng 1 năm 2024. Hoạt động này nhấn mạnh sự tập trung liên tục của chúng vào các quốc đảo tại khu vực Nam Thái Bình Dương. Tuy nhiên, phần lớn hoạt động nhắm mục tiêu này đã được tiến hành, phản ánh sự tập trung kéo dài nhiều năm vào khu vực này. Vị trí địa lý và đường kính của biểu tượng mang tính tượng trưng.

Các tác nhân đe dọa Trung Quốc vẫn tập trung vào Biển Đông trong bối cảnh các cuộc tập trận quân sự của phương Tây

Các tác nhân đe dọa có trụ sở tại Trung Quốc tiếp tục nhắm mục tiêu vào các tổ chức liên quan đến lợi ích kinh tế và quân sự của Trung Quốc trong và xung quanh Biển Đông. Những tác nhân này đã lợi dụng tấn công các nạn nhân trong các tổ chức chính phủ và viễn thông trong Hiệp hội các quốc gia Đông Nam Á (ASEAN). Các tác nhân trên mạng có liên kết với nhà nước Trung Quốc tỏ ra đặc biệt quan tâm đến các mục tiêu liên quan đến nhiều cuộc tập trận quân sự của Hoa Kỳ được tiến hành trong khu vực. Vào tháng 6 năm 2023, Raspberry Typhoon, một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Trung Quốc, đã nhắm mục tiêu thành công vào các tổ chức quân sự và hành pháp ở Indonesia cũng như hệ thống hàng hải của Malaysia trong những tuần trước cuộc tập trận hải quân đa phương hiếm hoi có sự tham gia của Indonesia, Trung Quốc và Hoa Kỳ.

Tương tự, các tổ chức liên quan đến cuộc tập trận quân sự Hoa Kỳ-Philippines cũng bị một tác nhân trên mạng khác của Trung Quốc là Flax Typhoon nhắm tới. Trong khi đó, Granite Typhoon, một tác nhân đe dọa khác có trụ sở tại Trung Quốc, chủ yếu tấn công các tổ chức viễn thông trong khu vực trong thời gian này, với các nạn nhân ở Indonesia, Malaysia, Philippines, Campuchia và Đài Loan.

Kể từ khi Microsoft phát hành ấn phẩm blog về Flax Typhoon, Microsoft đã quan sát thấy các mục tiêu mới của Flax Typhoon ở Philippines, Hong Kong, Ấn Độ và Hoa Kỳ vào đầu mùa thu và mùa đông năm 2023.2 Tác nhân này cũng thường xuyên tấn công vào lĩnh vực viễn thông, thường gây ảnh hưởng đến người dùng cuối.

Bản đồ hiển thị dữ liệu thông tin về mối đe dọa của Microsoft trên các khu vực được nhắm mục tiêu nhiều nhất ở Châu Á,
Hình 2: Các sự kiện được quan sát nhắm vào các quốc gia trong hoặc xung quanh Biển Đông do Typhoon, Granite Typhoon, hoặc Raspberry Typhoon thực hiện. Vị trí địa lý và đường kính của biểu tượng mang tính tượng trưng.

Nylon Typhoon tấn công các cơ quan ngoại giao trên toàn thế giới

Tác nhân đe dọa có trụ sở tại Trung Quốc Nylon Typhoon đã và đang tiếp tục hoạt động tấn công kéo dài nhắm mục tiêu vào các tổ chức ngoại giao ở các quốc gia trên toàn thế giới. Từ tháng 6 đến tháng 12 năm 2023, Microsoft đã quan sát thấy Nylon Typhoon tại các tổ chức chính phủ ở Nam Mỹ, bao gồm Brazil, Guatemala, Costa Rica và Peru. Tác nhân đe dọa này cũng được quan sát thấy ở châu Âu, tấn công các tổ chức chính phủ ở Bồ Đào Nha, Pháp, Tây Ban Nha, Ý và Vương quốc Anh. Trong khi hầu hết các mục tiêu ở châu Âu là các tổ chức chính phủ, một số công ty CNTT cũng bị xâm phạm. Mục đích của việc nhắm mục tiêu này là thu thập thông tin tình báo.

Nhóm đe dọa của Trung Quốc nhắm vào các tổ chức quân sự và cơ sở hạ tầng quan trọng ở Hoa Kỳ

Cuối cùng, Storm-0062 đã tăng cường hoạt động trong mùa thu và mùa đông năm 2023. Phần lớn hoạt động này là tấn công các cơ quan chính phủ liên quan đến quốc phòng Hoa Kỳ, bao gồm các nhà thầu cung cấp dịch vụ kỹ thuật về hàng không vũ trụ, quốc phòng và tài nguyên thiên nhiên quan trọng đối với an ninh quốc gia Hoa Kỳ. Ngoài ra, Storm-0062 còn liên tục nhắm mục tiêu vào các tổ chức quân sự ở Hoa Kỳ; tuy nhiên, không rõ liệu nhóm có tấn công thành công hay không.

Căn cứ công nghiệp quốc phòng của Hoa Kỳ cũng vẫn tiếp tục là mục tiêu của Volt Typhoon. Vào tháng 5 năm 2023, Microsoft nhận thấy các cuộc tấn công vào các tổ chức cơ sở hạ tầng quan trọng của Hoa Kỳ là do Volt Typhoon, một tác nhân được nhà nước hậu thuẫn có trụ sở tại Trung Quốc. Volt Typhoon đã giành được quyền truy nhập vào mạng của các tổ chức bằng các kỹ thuật xâm nhập tàng hình và hoạt động tấn công kiểm soát trực tiếp.3 Những chiến thuật này cho phép Volt Typhoon lén lút duy trì quyền truy nhập trái phép vào các mạng mục tiêu. Từ tháng 6 đến tháng 12 năm 2023, Volt Typhoon tiếp tục nhắm mục tiêu vào cơ sở hạ tầng quan trọng nhưng cũng theo đuổi việc phát triển tài nguyên bằng cách xâm phạm các thiết bị văn phòng nhỏ và văn phòng tại nhà (SOHO) trên khắp Hoa Kỳ.

Trong báo cáo tháng 9 năm 2023, chúng tôi đã nêu chi tiết cách các tài sản hoạt động gây ảnh hưởng (IO) của Trung Quốc bắt đầu sử dụng generative AI để tạo ra nội dung hình ảnh đẹp mắt, hấp dẫn. Trong suốt mùa hè, Microsoft Threat Intelligence tiếp tục xác định các meme do AI tạo ra nhắm mục tiêu vào Hoa Kỳ nhằm phóng đại các vấn đề gây tranh cãi trong nước và chỉ trích chính quyền hiện tại. Các tác nhân IO có liên kết với Trung Quốc đã tiếp tục sử dụng nội dung đa phương tiện được tăng cường bởi AI và do AI tạo ra (sau đây gọi là “nội dung AI”) trong các chiến dịch gây ảnh hưởng với số lượng và tần suất ngày càng tăng trong suốt cả năm.

AI tăng vọt (nhưng không tác động thành công)

Tác nhân sử dụng nội dung AI nhiều nhất là Storm-1376 -danh hiệu Microsoft dành cho tác nhân có liên quan đến Đảng Cộng sản Trung Quốc (ĐCSTQ), thường được gọi là “Spamouflage” hoặc “Dragonbridge”. Vào mùa đông, các tác nhân khác có liên kết với ĐCSTQ bắt đầu sử dụng nhiều nội dung AI hơn để tăng cường IO trực tuyến. Điều này bao gồm sự gia tăng đáng chú ý về nội dung có các nhân vật chính trị Đài Loan trước cuộc bầu cử tổng thống và cơ quan lập pháp vào ngày 13 tháng 1. Đây là lần đầu tiên Microsoft Threat Intelligence chứng kiến ​​một tác nhân được nhà nước hậu thuẫn sử dụng nội dung AI nhằm nỗ lực gây ảnh hưởng đến cuộc bầu cử nước ngoài.

Âm thanh do AI tạo ra: Vào ngày bầu cử ở Đài Loan, Storm-1376 đã đăng các đoạn âm thanh bị nghi ngờ do AI tạo ra của nhà sáng lập Foxconn, ông Terry Gou, ứng cử viên Đảng độc lập trong cuộc đua tổng thống Đài Loan, người đã rút lui khỏi cuộc đua vào tháng 11 năm 2023. Các bản ghi âm thể hiện giọng nói của ông Gou ủng hộ một ứng cử viên khác trong cuộc đua tổng thống. Giọng nói của ông Gou trong đoạn ghi âm có thể là do AI tạo ra, vì ông Gou không đưa ra tuyên bố nào như vậy. YouTube đã nhanh chóng xử lý nội dung này trước khi nội dung tiếp cận được một lượng người dùng đáng kể. Những đoạn video này xuất hiện vài ngày sau khi một bức thư giả mạo của ông Terry Gou ủng hộ ứng cử viên đó được lan truyền trên mạng. Các tổ chức xác thực thông tin hàng đầu của Đài Loan đã vạch trần bức thư. Chiến dịch tranh cử của ông Gou cũng tuyên bố rằng bức thư không có thật và họ sẽ theo đuổi hành động pháp lý để đáp trả.4 Ông Gou không chính thức ủng hộ bất kỳ ứng cử viên tổng thống nào trong cuộc đua.
Một người đàn ông mặc vest đang phát biểu trên khán đài với văn bản tiếng Trung và đồ họa dạng sóng âm thanh ở phía trước.
Hình 3: Các video do Storm-1376 phát hành đã sử dụng bản ghi âm giọng nói của Terry Gou do AI tạo ra để khiến ông có vẻ như đang ủng hộ một ứng cử viên khác.
Các biên tập viên do AI tạo ra: Các biên tập viên tin tức tạo bởi AI do các công ty công nghệ bên thứ ba tạo ra, sử dụng công cụ Capcut của công ty công nghệ Trung Quốc ByteDance, đã xuất hiện trong nhiều chiến dịch có sự tham gia của các quan chức Đài Loan,5 cũng như xây dựng thông điệp về Myanmar. Storm-1376 đã sử dụng các biên tập viên tin tức do AI tạo ra như vậy ít nhất kể từ ngày 6 tháng 2 năm 2023,6 nhưng khối lượng nội dung của tác nhân này sử dụng các biên tập viên này đã tăng lên trong những tháng gần đây.
Ảnh ghép xe quân sự
Hình 4: Storm-1376 đã đăng video bằng tiếng Quan Thoại và tiếng Anh cáo buộc Hoa Kỳ và Ấn Độ chịu trách nhiệm cho tình trạng bất ổn ở Myanmar. Cùng một dấu neo cho AI tạo được sử dụng trong một số video này.
Video được cải tiến bằng AI: Theo tiết lộ của chính phủ Canada và các nhà nghiên cứu khác, các video được cải tiến bằng AI đã sử dụng hình ảnh giống một nhà bất đồng chính kiến ​​​​người Trung Quốc tại Canada trong một chiến dịch nhắm vào các nghị sĩ Canada.7 Những video này, chỉ là một phần trong chiến dịch trên nhiều nền tảng bao gồm quấy rối các chính trị gia Canada trên tài khoản mạng xã hội của họ, mô tả sai sự thật về nhà bất đồng chính kiến ​​đưa ra những nhận xét mang tính kích động về chính phủ Canada. Các video tương tự được cải tiến bởi AI đã được sử dụng để chống lại nhà bất đồng chính kiến ​​​​này trước đây.
Một người đang ngồi tại bàn làm việc
Hình 5: Các video deepfake có sự hỗ trợ của AI về người bất đồng chính kiến ​​đang xúc phạm tôn giáo. Mặc dù sử dụng các chiến thuật tương tự như chiến dịch ở Canada, nhưng những video này có vẻ không liên quan về mặt nội dung.
Meme do AI tạo ra: Storm-1376 đã quảng bá một loạt các meme do AI tạo ra về ứng cử viên tổng thống của Đảng Dân chủ Tiến bộ (DPP) lúc bấy giờ của Đài Loan là William Lai vào tháng 12 với chủ đề đếm ngược ghi chú “X ngày” để loại bỏ quyền lực của DPP.
Biểu diễn bằng đồ họa với hai hình ảnh cạnh nhau, một hình có hình có chữ x màu đỏ và hình kia có hình tương tự không được đánh dấu,
Hình 6: Các meme do AI tạo ra cáo buộc ứng cử viên tổng thống của DPP William Lai đã biển thủ tiền từ Chương trình Phát triển Cơ sở hạ tầng Hướng tới Tương lai của Đài Loan. Những meme này có các ký tự đơn giản hóa (được sử dụng ở CHND Trung Hoa nhưng không được sử dụng ở Đài Loan) và là một phần của loạt ảnh hiển thị “đếm ngược mỗi ngày để loại bỏ quyền lực của DPP”.
Đồ họa thông tin về dòng thời gian cho thấy tầm ảnh hưởng của nội dung do AI tạo ra đối với các cuộc bầu cử ở Đài Loan từ tháng 12 năm 2023 đến tháng 1 năm 2024.
Hình 7: Dòng thời gian của nội dung do AI tạo ra và được nâng cao bằng AI xuất hiện trước cuộc bầu cử Tổng thống và Quốc hội vào tháng 1 năm 2024 của Đài Loan. Storm-1376 đã khuếch đại một số nội dung này và chịu trách nhiệm tạo nội dung trong hai chiến dịch.

Storm-1376 tiếp tục xây dựng thông điệp mang tính phản kháng, đôi khi kèm theo những câu chuyện có âm mưu

Storm-1376—một tác nhân có hoạt động gây ảnh hưởng trải rộng trên 175 trang web và 58 ngôn ngữ - đã tiếp tục thường xuyên thực hiện các chiến dịch xây dựng thông điệp mang tính phản kháng xung quanh các sự kiện địa chính trị cấp cao, đặc biệt là những sự kiện miêu tả Hoa Kỳ dưới góc độ bất lợi hoặc làm gia tăng sự quan tâm của ĐCSTQ đối với khu vực Châu Á – Thái Bình Dương. Kể từ báo cáo gần đây nhất của chúng tôi vào tháng 9 năm 2023, các chiến dịch này đã phát triển theo một số cách thức quan trọng, bao gồm việc kết hợp các bức ảnh do AI tạo ra để đánh lừa khán giả, khơi dậy nội dung có âm mưu - đặc biệt là chống lại chính phủ Hoa Kỳ - và nhắm mục tiêu đến các nhóm dân cư mới, chẳng hạn như Hàn Quốc, bằng nội dung được bản địa hóa.

1. Đưa ra luận điệu “vũ khí thời tiết” của chính phủ Hoa Kỳ đã gây ra vụ cháy rừng ở Hawaii

Vào tháng 8 năm 2023, khi đám cháy rừng hoành hành ở bờ biển phía tây bắc Maui, Hawaii, Storm-1376 đã chớp lấy cơ hội để truyền bá những câu chuyện có âm mưu trên nhiều nền tảng mạng xã hội. Những bài đăng này cáo buộc chính phủ Hoa Kỳ đã cố tình đốt lửa để thử nghiệm “vũ khí thời tiết” cấp quân sự. Ngoài việc đăng văn bản bằng ít nhất 31 ngôn ngữ trên hàng chục trang web và nền tảng, Storm-1376 còn sử dụng hình ảnh do AI tạo ra về cảnh đốt cháy những con đường ven biển và khu dân cư để làm cho nội dung bắt mắt hơn.8

Hình ảnh tổng hợp có tem "giả" về hiện trường vụ cháy nổ kinh hoàng.
Hình 8: Storm-1376 đăng nội dung mang tính âm mưu trong vòng vài ngày kể từ khi cháy rừng bùng phát, cáo buộc đám cháy là kết quả của việc chính phủ Hoa Kỳ thử nghiệm “vũ khí khí tượng”. Những bài đăng này thường đi kèm với những bức ảnh về đám cháy lớn do AI tạo ra.

2. Khuếch đại sự phẫn nộ đối với việc Nhật Bản xả nước thải hạt nhân

Storm-1376 đã phát động một chiến dịch xây dựng thông điệp mạnh mẽ, quy mô lớn chỉ trích chính phủ Nhật Bản sau khi Nhật Bản bắt đầu xả nước thải phóng xạ đã qua xử lý vào Thái Bình Dương vào ngày 24 tháng 8 năm 2023.9 Nội dung của Storm-1376 gây nghi ngờ về đánh giá khoa học của Cơ quan Năng lượng Nguyên tử Quốc tế (IAEA) rằng việc xả thải là an toàn. Storm-1376 xây dựng thông điệp bừa bãi trên các nền tảng mạng xã hội bằng nhiều ngôn ngữ, bao gồm tiếng Nhật, tiếng Hàn và tiếng Anh. Một số nội dung thậm chí còn cáo buộc Hoa Kỳ cố tình đầu độc các quốc gia khác để duy trì “bá quyền nguồn nước”. Nội dung được sử dụng trong chiến dịch này mang dấu ấn của thế hệ AI.

Trong một số trường hợp, Storm-1376 tái chế nội dung được các tác nhân khác trong hệ sinh thái tuyên truyền của Trung Quốc sử dụng, bao gồm cả những người có ảnh hưởng trên mạng xã hội liên kết với truyền thông nhà nước Trung Quốc.10 Những người có ảnh hưởng và tài sản thuộc về Storm-1376 đã tải lên ba video giống hệt nhau chỉ trích việc xả nước thải của Fukushima. Những trường hợp bài đăng như vậy từ các tác nhân khác nhau sử dụng nội dung giống hệt nhau dường như diễn ra cùng nhau - điều này có thể cho thấy sự phối hợp hoặc chỉ đạo xây dựng thông điệp - đã gia tăng trong suốt năm 2023.

Một hình ảnh tổng hợp có hình minh họa châm biếm về mọi người, ảnh chụp màn hình của video mô tả godzilla và một bài đăng trên mạng xã hội
Hình 9: Các meme và hình ảnh do AI tạo ra chỉ trích việc xả nước thải Fukushima từ các tài nguyên IO bí mật của Trung Quốc (trái) và các quan chức chính phủ Trung Quốc (giữa). Những người có ảnh hưởng liên kết với các phương tiện truyền thông nhà nước Trung Quốc cũng khuếch đại thông điệp thống nhất với chính phủ về chỉ trích việc xả thải (phải).

3. Châm ngòi bất hòa ở Hàn Quốc

Liên quan đến vụ xả nước thải Fukushima, Storm-1376 đã nỗ lực phối hợp nhắm mục tiêu vào Hàn Quốc bằng nội dung bản địa hóa nhằm khuếch đại các cuộc biểu tình phản đối việc xả thải diễn ra trong nước cũng như nội dung chỉ trích chính phủ Nhật Bản. Chiến dịch này bao gồm hàng trăm bài đăng bằng tiếng Hàn trên nhiều nền tảng và trang web, bao gồm các trang truyền thông xã hội của Hàn Quốc như Kakao Story, Tistory và Velog.io.11

Trong chiến dịch có mục tiêu này, Storm-1376 đã tích cực khuếch đại các nhận xét và hành động từ lãnh đạo Minjoo và ứng cử viên tổng thống không thành công vào năm 2022, Lee Jaemyung (이재명, 李在明). Lee chỉ trích động thái của Nhật Bản là “khủng bố nguồn nước ô nhiễm” và tương đương với “Chiến tranh Thái Bình Dương lần thứ hai”. Ông cũng cáo buộc chính phủ hiện tại của Hàn Quốc là “đồng phạm khi ủng hộ” quyết định của Nhật Bản và tiến hành tuyệt thực để phản đối trong suốt 24 ngày.12

Cột truyện tranh bốn khung đề cập đến ô nhiễm môi trường và tác động đối với sinh vật biển.
Hình 10: Các meme bằng tiếng Hàn từ nền tảng blog Tistory của Hàn Quốc khuếch đại sự bất hòa về việc xả nước thải Fukushima.

4. Vụ trật bánh ở Kentucky

Trong kỳ nghỉ lễ Tạ ơn vào tháng 11 năm 2023, một đoàn tàu chở lưu huỳnh nóng chảy bị trật bánh ở hạt Rockcastle, Kentucky. Khoảng một tuần sau khi trật bánh, Storm-1376 đã phát động một chiến dịch truyền thông xã hội nhằm khuếch đại vụ trật bánh, truyền bá các thuyết âm mưu chống chính phủ Hoa Kỳ và nêu bật sự chia rẽ chính trị trong cử tri Hoa Kỳ, cuối cùng khuyến khích sự ngờ vực và vỡ mộng với chính phủ Hoa Kỳ. Storm-1376 kêu gọi khán giả xem xét liệu chính phủ Hoa Kỳ có thể đã gây ra vụ trật bánh và đang “cố tình che giấu điều gì đó” hay không.13 Một số thông điệp thậm chí còn so sánh vụ trật bánh với vụ 11/9 và các thuyết che đậy vụ Trân Châu Cảng.14

Các con rối IO của Trung Quốc tìm kiếm quan điểm về các chủ đề chính trị của Hoa Kỳ

Trong báo cáo tháng 9 năm 2023, chúng tôi đã nêu bật cách các tài khoản mạng xã hội liên kết với ĐCSTQ bắt đầu mạo danh cử tri Hoa Kỳ bằng cách đóng giả là người Mỹ thuộc mọi giới chính trị và phản hồi bình luận từ những người dùng xác thực.15 Những nỗ lực này nhằm tác động đến cuộc bầu cử giữa nhiệm kỳ năm 2022 của Hoa Kỳ đã đánh dấu lần IO đầu tiên của Trung Quốc mà chúng tôi quan sát thấy.

Trung tâm Phân tích Mối đe dọa của Microsoft (MTAC) đã quan sát thấy sự gia tăng nhỏ nhưng ổn định của các tài khoản con rối mà chúng tôi đánh giá với mức độ tin cậy vừa phải là do ĐCSTQ điều hành. Trên X (trước đây là Twitter), những tài khoản này được tạo sớm nhất là từ năm 2012 hoặc 2013, nhưng chỉ bắt đầu đăng bài với tư cách hiện tại vào đầu năm 2023 - cho thấy các tài khoản này gần đây đã được mua lại hoặc đã thay đổi mục đích sử dụng. Những con rối này đăng cả video, meme và đồ họa thông tin gốc cũng như nội dung được tái chế từ các tài khoản chính trị nổi tiếng khác. Những tài khoản này gần như chỉ đăng bài về các vấn đề nội bộ của Hoa Kỳ - từ việc sử dụng ma túy của Mỹ, chính sách nhập cư và căng thẳng chủng tộc - nhưng đôi khi sẽ bình luận về các chủ đề mà Trung Quốc quan tâm - chẳng hạn như vụ xả nước thải Fukushima hoặc các nhà bất đồng chính kiến ​​​​Trung Quốc.

Ảnh chụp màn hình máy tính có dòng chữ Chiến tranh và xung đột, vấn đề ma túy, quan hệ chủng tộc, v.v.
Hình 11: Trong suốt mùa hè và mùa thu, các con rối và nhân vật Trung Quốc thường sử dụng hình ảnh hấp dẫn – đôi khi được tăng cường thông qua AI có tính tổng hợp – trong các bài đăng của họ khi thảo luận về các vấn đề chính trị và sự kiện thời sự của Hoa Kỳ.
Bên cạnh các đồ họa thông tin hoặc video có động cơ chính trị, những tài khoản này thường hỏi những người theo dõi xem họ có đồng ý với chủ đề nào đó hay không. Một số tài khoản này đã đăng bài về các ứng cử viên tổng thống khác nhau và sau đó yêu cầu những người theo dõi bình luận xem họ có ủng hộ các ứng cử viên đó hay không. Chiến thuật này có thể nhằm mục đích tìm kiếm sự tham gia sâu hơn hoặc có thể để hiểu rõ hơn quan điểm của người Mỹ về chính trị Hoa Kỳ. Nhiều tài khoản như vậy có thể đang hoạt động để tăng cường thu thập thông tin tình báo về cử tri bỏ phiếu quan trọng ở Hoa Kỳ.
So sánh hình ảnh chia đôi màn hình: bên trái máy bay quân sự cất cánh từ tàu sân bay và bên phải là một nhóm người ngồi sau hàng rào
Hình 12: Những con rối của Trung Quốc thu thập ý kiến về các chủ đề chính trị từ những người dùng khác trên X

Những tác nhân đe dọa trên mạng của Triều Tiên đã đánh cắp hàng trăm triệu đô la tiền điện tử, tiến hành các cuộc tấn công chuỗi cung ứng phần mềm và nhắm mục tiêu vào những đối tượng được cho là đối thủ an ninh quốc gia của Triều Tiên vào năm 2023. Hoạt động của các tác nhân này tạo ra doanh thu cho chính phủ Triều Tiên - đặc biệt là chương trình vũ khí của nước này - đồng thời thu thập thông tin tình báo về Hoa Kỳ, Hàn Quốc và Nhật Bản.16

Đồ họa thông tin hiển thị các khu vực và quốc gia bị nhắm tới nhiều nhất bởi các mối đe dọa mạng.
Hình 13: Các lĩnh vực và quốc gia bị nhắm mục tiêu nhiều nhất của Triều Tiên từ tháng 6 năm 2023 đến tháng 1 năm 2024 dựa trên dữ liệu thông báo cấp quốc gia của Microsoft Threat Intelligence.

Các tác nhân trên mạng của Triều Tiên cướp một lượng tiền điện tử kỷ lục để tạo doanh thu cho nhà nước.

Liên Hợp Quốc ước tính rằng các tác nhân trên mạng của Triều Tiên đã đánh cắp hơn $3 tỷ USD tiền điện tử kể từ năm 2017.17 Các vụ đánh cắp có tổng trị giá từ $600 triệu đến $1 tỷ USD chỉ xảy ra vào năm 2023. Những khoản tiền bị đánh cắp này được cho là tài trợ cho hơn một nửa chương trình hạt nhân và tên lửa của quốc gia, hỗ trợ Triều Tiên phổ biến và thử nghiệm vũ khí bất chấp lệnh trừng phạt.18 Triều Tiên đã tiến hành nhiều vụ thử tên lửa và diễn tập quân sự trong năm qua, thậm chí còn phóng thành công một vệ tinh trinh sát quân sự vào không gian vào ngày 21 tháng 11 năm 2023.19

Ba tác nhân đe dọa được Microsoft theo dõi - Jade Sleet, Sapphire Sleet và Citrine Sleet - tập trung nhiều nhất vào các mục tiêu tiền điện tử kể từ tháng 6 năm 2023. Jade Sleet đã tiến hành các vụ trộm tiền điện tử lớn, trong khi Sapphire Sleet tiến hành các hoạt động đánh cắp tiền điện tử nhỏ hơn nhưng thường xuyên hơn. Microsoft cho rằng hành vi trộm cắp ít nhất $35 triệu USD từ một công ty tiền điện tử có trụ sở tại Estonia vào đầu tháng 6 năm 2023 là do Jade Sleet thực hiện. Microsoft cũng nhận định vụ trộm hơn $125 triệu USD từ nền tảng tiền điện tử có trụ sở tại Singapore do Jade Sleet thực hiện một tháng sau đó. Jade Sleet bắt đầu tấn công các sòng bạc tiền điện tử trực tuyến vào tháng 8 năm 2023.

Sapphire Sleet liên tục tấn công nhiều nhân viên, bao gồm cả giám đốc điều hành và nhà phát triển tiền điện tử, quỹ đầu tư mạo hiểm và các tổ chức tài chính khác. Sapphire Sleet cũng phát triển các kỹ thuật mới, chẳng hạn như gửi lời mời họp trực tuyến giả mạo chứa liên kết đến tên miền của kẻ tấn công và đăng ký các trang web tuyển dụng giả mạo. Citrine Sleet tiếp nối cuộc tấn công chuỗi cung ứng 3CX vào tháng 3 năm 2023 bằng cách xâm phạm một công ty tài sản kỹ thuật số và tiền điện tử có trụ sở tại Türkiye. Nạn nhân đã lưu trữ một phiên bản dễ bị tấn công của ứng dụng 3CX có liên quan đến hành vi xâm phạm chuỗi cung ứng.

Các tác nhân trên mạng của Triều Tiên đe dọa lĩnh vực CNTT bằng các cuộc tấn công lừa đảo qua mạng và chuỗi cung ứng phần mềm

Các tác nhân đe dọa của Triều Tiên cũng tiến hành các cuộc tấn công chuỗi cung ứng phần mềm vào các công ty CNTT nhằm tiếp cận thông tin người dùng cuối. Jade Sleet đã sử dụng kho lưu trữ GitHub và các gói npm có vũ khí trong một chiến dịch lừa đảo qua mạng phi kỹ thuật nhắm vào nhân viên của các tổ chức công nghệ và tiền điện tử.20 Những kẻ tấn công đã mạo danh nhà phát triển hoặc nhà tuyển dụng, mời các mục tiêu cộng tác trên kho lưu trữ GitHub và thuyết phục nạn nhân sao chép và thực thi nội dung của chúng, trong đó có chứa các gói npm độc hại. Diamond Sleet đã tiến hành tấn công chuỗi cung ứng của một công ty CNTT có trụ sở tại Đức vào tháng 8 năm 2023 và vũ khí hóa ứng dụng của một công ty CNTT có trụ sở tại Đài Loan để tiến hành cuộc tấn công chuỗi cung ứng vào tháng 11 năm 2023. Cả Diamond Sleet và Onyx Sleet đều khai thác lỗ hổng TeamCity CVE-2023 42793 vào tháng 10 năm 2023, cho phép kẻ tấn công thực hiện cuộc tấn công thực thi mã từ xa và giành quyền kiểm soát quản trị máy chủ. Diamond Sleet đã sử dụng kỹ thuật này để tấn công hàng trăm nạn nhân trong các ngành công nghiệp khác nhau ở Hoa Kỳ và các quốc gia Châu Âu bao gồm Vương quốc Anh, Đan Mạch, Ireland và Đức. Onyx Sleet đã khai thác lỗ hổng tương tự đó để tấn công ít nhất 10 nạn nhân - bao gồm một nhà cung cấp phần mềm ở Úc và một cơ quan chính phủ ở Na Uy - đồng thời sử dụng công cụ sau tấn công để thực thi các tải trọng bổ sung.

Các tác nhân trên mạng của Triều Tiên nhắm mục tiêu vào Hoa Kỳ, Hàn Quốc và đồng minh

Các tác nhân đe dọa Triều Tiên tiếp tục nhắm vào các đối tượng được cho là đối thủ an ninh quốc gia của Triều Tiên. Hoạt động trên mạng này thể hiện mục tiêu địa chính trị của Triều Tiên trong việc chống lại liên minh ba bên giữa Hoa Kỳ, Hàn Quốc và Nhật Bản. Lãnh đạo ba quốc gia đã củng cố mối quan hệ đối tác này trong hội nghị thượng đỉnh Camp David vào tháng 8 năm 2023.21 Ruby Sleet và Onyx Sleet tiếp tục xu hướng nhắm mục tiêu vào các tổ chức quốc phòng và hàng không vũ trụ ở Hoa Kỳ và Hàn Quốc. Emerald Sleet duy trì chiến dịch do thám và tấn công lừa đảo qua mạng nhắm vào các nhà ngoại giao và chuyên gia chính phủ về Bán đảo Triều Tiên, các tổ chức nghiên cứu/NGO, truyền thông và giáo dục. Pearl Sleet tiếp tục hoạt động nhắm vào các tổ chức Hàn Quốc có liên hệ với những người đào tẩu và các nhà hoạt động Triều Tiên tập trung vào các vấn đề nhân quyền của Triều Tiên vào tháng 6 năm 2023. Microsoft đánh giá rằng động cơ đằng sau các hoạt động này là thu thập thông tin tình báo.

Các tác nhân Triều Tiên triển khai cửa hậu trong phần mềm hợp pháp

Các tác nhân đe dọa của Triều Tiên cũng sử dụng các cửa hậu để hợp pháp hóa phần mềm, lợi dụng các lỗ hổng trong phần mềm hiện tại. Trong nửa đầu năm 2023, Diamond Sleet thường xuyên sử dụng phần mềm độc hại VNC được vũ khí hóa để xâm phạm nạn nhân. Diamond Sleet cũng đã tiếp tục sử dụng phần mềm độc hại đọc PDF được vũ khí hóa vào tháng 7 năm 2023, các kỹ thuật mà Microsoft Threat Intelligence đã phân tích trong một bài đăng trên blog vào tháng 9 năm 2022.22 Ruby Sleet cũng có thể đã sử dụng trình cài đặt cửa hậu của chương trình tài liệu điện tử của Hàn Quốc vào tháng 12 năm 2023.

Triều Tiên sử dụng các công cụ AI để kích hoạt các hoạt động gây hại trên mạng

Các tác nhân đe dọa Triều Tiên đang thích nghi với thời đại AI. Họ đang học cách sử dụng các công cụ được hỗ trợ bởi các mô hình ngôn ngữ lớn (LLM) AI để giúp hoạt động hiệu quả hơn. Ví dụ: Microsoft và OpenAI đã quan sát thấy Emerald Sleet sử dụng LLM để nâng cao các chiến dịch tấn công lừa đảo qua mạng nhắm mục tiêu vào các chuyên gia Bán đảo Triều Tiên.23 Emerald Sleet đã sử dụng LLM để nghiên cứu các lỗ hổng và tiến hành do thám các tổ chức và chuyên gia tập trung vào Triều Tiên. Emerald Sleet cũng sử dụng LLM để khắc phục sự cố kỹ thuật, thực hiện các tác vụ viết lệnh cơ bản và soạn thảo nội dung cho các tin nhắn tấn công lừa đảo qua mạng. Microsoft hợp tác với OpenAI để vô hiệu hóa các tài khoản và nội dung có liên kết với Emerald Sleet.

Trung Quốc sẽ kỷ niệm 75 năm thành lập Cộng hòa Nhân dân Trung Hoa vào tháng 10 và Triều Tiên sẽ tiếp tục thúc đẩy các chương trình vũ khí tiên tiến quan trọng. Trong khi đó, khi người dân ở Ấn Độ, Hàn Quốc và Hoa Kỳ đang tham gia các cuộc bỏ phiếu, chúng ta có thể thấy các tác nhân gây ảnh hưởng và trên mạng của Trung Quốc, và ở một mức độ nào đó, các tác nhân trên mạng của Triều Tiên, nỗ lực nhắm mục tiêu vào các cuộc bầu cử này.

Ở mức tối thiểu, Trung Quốc sẽ tạo và khuếch đại nội dung do AI tạo ra để phục vụ lợi ích vị thế của họ trong các cuộc bầu cử cấp cao này. Mặc dù tác động gây ảnh hưởng đến người xem của những nội dung như vậy vẫn còn thấp, nhưng Trung Quốc sẽ tiếp tục gia tăng thử nghiệm tăng cường các meme, video và âm thanh - và có thể chứng minh được hiệu quả về lâu dài. Trong khi các tác nhân trên mạng của Trung Quốc từ lâu đã tiến hành do thám các thể chế chính trị của Hoa Kỳ, chúng tôi cũng đã sẵn sàng theo dõi ​​các tác nhân gây ảnh hưởng tương tác với người Mỹ để thu hút sự tham gia và có khả năng nghiên cứu các quan điểm về chính trị Hoa Kỳ.

Cuối cùng, khi Triều Tiên bắt tay vào thực hiện các chính sách mới của chính phủ và theo đuổi các kế hoạch đầy tham vọng về thử nghiệm vũ khí, dự kiến sẽ có các vụ trộm tiền điện tử ngày càng tinh vi và các cuộc tấn công chuỗi cung ứng nhắm vào lĩnh vực quốc phòng, nhằm mục đích bơm tiền cho chính phủ và hỗ trợ phát triển năng lực quân sự mới.

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?“ngày 11 tháng 1 năm 2024, tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    “Chiến dịch “Spamouflage” tiềm ẩn của PRC nhắm vào hàng chục Thành viên Quốc hội Canada trong chiến dịch thông tin sai lệch,” tháng 10 năm 2023,

  8. [8]
  9. [9]

    Nhiều nguồn đã ghi lại chiến dịch tuyên truyền đang diễn ra của chính phủ Trung Quốc nhằm khơi dậy sự phẫn nộ của quốc tế đối với quyết định của Nhật Bản trong việc xả nước thải hạt nhân từ vụ tai nạn hạt nhân Fukushima Daiichi năm 2011, xem: Thông tin sai lệch của Trung Quốc châm ngòi tức giận về việc xả thải Fukushima”, ngày 31 tháng 8 năm 2023“Nhật Bản là mục tiêu của chiến dịch tuyên truyền và che đậy trực tuyến của Trung Quốc”, ngày 8 tháng 6 năm 2023

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
Hoạt động gây ảnh hưởng trên mạng Được nhà nước hậu thuẫn Báo cáo tác nhân đe dọa được nhà nước hậu thuẫn Lừa đảo phi kỹ thuật Tác nhân đe dọa

Bài viết liên quan

Các mối đe dọa kỹ thuật số từ Đông Á ngày càng gia tăng về quy mô và hiệu quả

Đào sâu và khám phá các xu hướng mới nổi trong bối cảnh mối đe dọa đang gia tăng ở Đông Á, nơi Trung Quốc tiến hành cả các hoạt động gây ảnh hưởng (IO) và hoạt động mạng trên diện rộng, trong khi các tác nhân đe dọa trên mạng của Triều Tiên thể hiện mức độ ngày càng tinh vi.
Tìm hiểu thêm

Lợi dụng nền kinh tế lòng tin: gian lận lừa đảo phi kỹ thuật

Khám phá bối cảnh kỹ thuật số ngày càng phát triển, nơi mà sự tin cậy vừa là tài sản quý giá, lại vừa là điểm yếu. Khám phá các chiến thuật gian lận lừa đảo phi kỹ thuật mà những kẻ tấn công qua mạng sử dụng nhiều nhất, cũng như xem xét các chiến lược có thể giúp bạn xác định và đánh bại các mối đe dọa lừa đảo phi kỹ thuật được thiết kế để thao túng bản chất con người.
Tìm hiểu thêm

Iran tăng cường các hoạt động gây ảnh hưởng trên mạng để hỗ trợ Hamas

Khám phá thông tin chi tiết về các hoạt động gây ảnh hưởng trên mạng của Iran nhằm hỗ trợ Hamas ở Israel. Tìm hiểu xem các hoạt động đã tiến triển như thế nào qua các giai đoạn khác nhau của cuộc chiến và xem xét bốn chiến thuật, kỹ thuật và quy trình (TTP) gây ảnh hưởng chính mà Iran ưa chuộng nhất.
Tìm hiểu thêm

Theo dõi Microsoft Security