Desde junho de 2023, a Microsoft observou várias tendências notáveis de ciber e influência da China e da Coreia do Norte que indicam que grupos de ameaças do estado-nação estão voltando sua atenção para alvos familiares, usando técnicas de influência mais sofisticadas para alcançar seus objetivos. Para proteger suas organizações contra os mais recentes vetores de ataque e ameaças do estado-nação, as equipes de segurança devem estar cientes dessas tendências.
Os atores chineses de influência têm como alvos principais entidades em ilhas do Pacífico Sul, adversários regionais no Mar do Sul da China e a base industrial de defesa dos EUA. Enquanto isso, os atores chineses de influência conseguiram refinar seu uso de conteúdo gerado por inteligência artificial e aprimorado por inteligência artificial, enquanto também experimentavam com novas mídias na tentativa de alimentar divisões nos EUA e agravar as divisões na região Ásia-Pacífico.
Por exemplo, em um relatório de setembro de 2023, exploramos o uso de inteligência artificial generativa por ativos de operação de influência chinesa para criar conteúdo visual envolvente, incluindo memes gerados por IA que visavam os EUA para amplificar questões domésticas controversas e criticar a administração Biden.
Storm-1376 é um dos mais prolíficos atores chineses de ameaça que utilizam conteúdo de IA, com campanhas de operação de influência que abrangem mais de 175 websites e 58 idiomas diferentes. Recentemente, as campanhas do Storm-1376 começaram a usar fotos geradas por IA para enganar o público, alimentar conteúdo conspiratório — particularmente contra o governo dos EUA — e direcionar novas populações com conteúdo localizado.
No que diz respeito aos norte-coreanos, atores de ameaça cibernética roubaram centenas de milhões de dólares em criptomoedas, realizaram ataques à cadeia de suprimentos de software e miraram em seus adversários percebidos na segurança nacional em 2023. Essas operações são usadas para gerar receita para o governo norte-coreano — particularmente seu programa de armas — e coletar inteligência sobre os EUA, Coreia do Sul e Japão.
Um ator de ameaça rastreado pela Microsoft, chamado Sapphire Sleet, realizou uma série de pequenos, mas frequentes, operações de roubo de criptomoedas. O grupo desenvolveu novas técnicas para realizar essas operações, como enviar convites falsos para reuniões virtuais contendo links para um domínio do atacante e registrar websites falsos de recrutamento de emprego. Sapphire Sleet é conhecido por visar executivos e desenvolvedores em organizações de criptomoedas, capital de risco e outras instituições financeiras.
Também vimos atores de ameaça norte-coreanos conduzirem ataques à cadeia de suprimentos de software em empresas de TI, resultando em acesso a clientes downstream. Um grupo conhecido como Jade Sleet usou repositórios do GitHub e pacotes npm armados em uma campanha de spear-phishing de engenharia social que visava funcionários de organizações de criptomoedas e tecnologia.
Outro grupo, conhecido como Onyx Sleet, explorou a vulnerabilidade TeamCity CVE-2023-42793 para realizar um ataque de execução de código remoto e obter controle administrativo de servidores. O grupo foi vinculado a ataques à cadeia de suprimentos de software em pelo menos 10 vítimas — incluindo um fornecedor de software na Austrália e uma agência governamental na Noruega — e usou ferramentas pós-comprometimento para executar cargas adicionais.
À medida que a Coreia do Norte embarca em novas políticas governamentais e persegue planos ambiciosos de teste de armas, podemos esperar cada vez mais sofisticados roubos de criptomoedas e ataques à cadeia de suprimentos direcionados ao setor de defesa. As equipes de segurança para defesa e indústrias relacionadas devem permanecer vigilantes contra essas ameaças.
