Desde junho de 2023, a Microsoft observou várias tendências notáveis de ciberataques e influência da China e da Coreia do Norte, que indicam que grupos de ameaças de Estado-nação estão intensificando os ataques a alvos familiares, utilizando técnicas de influência mais sofisticadas para alcançar seus objetivos. Para proteger suas organizações contra os mais recentes vetores de ataque e ameaças de Estado-nação, as equipes de segurança devem estar atentas a essas tendências.
Atuando diretamente sobre três áreas principais, os atores cibernéticos chineses têm mirado amplamente em entidades pelas ilhas do Pacífico Sul, adversários regionais no Mar do Sul da China e na base industrial de defesa dos Estados Unidos. Enquanto isso, os atores de influência chineses têm conseguido aperfeiçoar o uso de conteúdo gerado por inteligência artificial e aprimorado por IA, ao mesmo tempo em que experimentam com novas mídias na tentativa de fomentar divisões nos EUA e agravar os conflitos na região da Ásia-Pacífico.
Por exemplo, em um relatório de setembro de 2023, exploramos o uso da inteligência artificial generativa por ativos de operação de influência chineses para criar conteúdo visual envolvente, incluindo memes gerados por IA direcionados aos EUA para amplificar questões internas controversas e criticar o governo de Biden.
O grupo Storm-1376 é um dos mais prolíficos atores de ameaças chineses que utilizam conteúdo de IA, com campanhas de operação de influência que abrangem mais de 175 sites e 58 idiomas diferentes. Recentemente, as campanhas da Storm-1376 começaram a usar fotos geradas por IA para enganar o público, fomentar conteúdo conspiratório – particularmente contra o governo dos EUA – e mirar em novas populações com conteúdo localizado.
À medida que nos aproximamos do ciclo eleitoral de 2024 nos EUA, esperamos que a China continue criando e ampliando o conteúdo gerado por IA direcionado ao público americano.
Por outro lado, os atores de ameaças norte-coreanos roubaram centenas de milhões de dólares em criptomoedas, realizaram ataques de cadeia de suprimentos de software e miraram em seus adversários de segurança nacional percebidos em 2023. Essas operações são usadas para gerar receita para o governo norte-coreano – especialmente seu programa de armas – e coletar informações sobre os EUA, Coreia do Sul e Japão.
Uma organização rastreada pela Microsoft, chamada Sapphire Sleet, conduziu uma série de pequenas, porém frequentes, operações de roubo de criptomoedas. O grupo desenvolveu novas técnicas para realizar essas operações, como enviar convites falsos para reuniões virtuais contendo links para um domínio de atacante e registrar sites falsos de recrutamento de emprego.
Também vimos atores de ameaças norte-coreanos realizarem ataques de cadeia de suprimentos de software em empresas de TI, resultando no acesso a clientes downstream. Um grupo, conhecido como Jade Sleet, usou repositórios GitHub e pacotes npm armados em uma campanha de spear-phishing de engenharia social que visava funcionários de organizações de criptomoedas e tecnologia.
Espera-se que, à medida que a Coreia do Norte embarca em novas políticas governamentais e busca planos ambiciosos para testes de armas, haja uma expectativa de criptomoedas e ataques de cadeia de suprimentos cada vez mais sofisticados direcionados ao setor de defesa. As equipes de segurança para defesa e setores relacionados devem permanecer vigilantes contra essas ameaças.