Desde junho de 2023, a Microsoft observou várias tendências cibernéticas e de influência importantes da China e da Coreia do Norte que indicam que grupos de ameaças de estado-nação estão intensificando os ataques em alvos familiares usando técnicas de influência mais sofisticadas para alcançar seus objetivos. Para proteger suas organizações contra os últimos vetores de ataque e ameaças de estado-nação, as equipes de segurança devem estar atualizadas sobre essas tendências.
Até então os atores cibernéticos chineses têm visado amplamente três áreas principais: entidades em ilhas do Pacífico Sul, adversários regionais no Mar do Sul da China e a base industrial de defesa dos EUA. Enquanto isso, os atores de influência chineses têm sido capazes de aperfeiçoar o uso de conteúdo gerado e aprimorado por IA, além de experimentar novas mídias na tentativa de alimentar divisões nos EUA e agravar as divisões na região da Ásia-Pacífico.
Quanto aos atores de ameaças cibernéticas norte-coreanos, eles roubaram centenas de milhões de dólares em criptomoedas, realizaram ataques na cadeia de suprimentos de software e visaram seus adversários percebidos em termos de segurança nacional em 2023. Essas operações são usadas para gerar receita para o governo norte-coreano – especialmente seu programa de armas – e coletar inteligência sobre os EUA, Coreia do Sul e Japão. Estima-se que os atores cibernéticos norte-coreanos tenham roubado mais de 3 bilhões de dólares em criptomoedas desde 2017, com vários roubos totalizando entre 600 milhões e 1 bilhão de dólares somente em 2023.
Um ator de ameaça rastreado pela Microsoft, chamado Sapphire Sleet, conduziu uma série de pequenas, mas frequentes, operações de roubo de criptomoedas. O grupo desenvolveu novas técnicas para realizar essas operações, como enviar convites falsos para reuniões virtuais contendo links para um domínio de atacante e registrar sites falsos de recrutamento de emprego. Espera-se que a Coreia do Norte continue criando e ampliando conteúdo gerado por IA direcionado ao público americano durante o ciclo eleitoral de 2024 nos EUA.
Além disso, temos observado os atores de ameaças norte-coreanos realizarem ataques na cadeia de suprimentos de software em empresas de TI, resultando no acesso a clientes downstream. Um grupo, conhecido como Jade Sleet, utilizou repositórios do GitHub e pacotes npm armados em uma campanha de engenharia social de spear-phishing que visava funcionários de organizações de criptomoedas e tecnologia. Os atacantes se passaram por desenvolvedores ou recrutadores, convidaram os alvos para colaborar em um repositório do GitHub e os convenceram a clonar e executar seu conteúdo, que continha pacotes npm maliciosos.
Outro grupo, conhecido como Onyx Sleet, explorou a vulnerabilidade do TeamCity CVE-2023-42793 para realizar um ataque de execução de código remoto e obter controle administrativo de servidores. O grupo tem sido associado a ataques na cadeia de suprimentos de software em pelo menos 10 vítimas – incluindo um fornecedor de software na Austrália e uma agência governamental na Noruega – e usou ferramentas pós-comprometimento para executar payloads adicionais.
À medida que a Coreia do Norte embarca em novas políticas governamentais e busca planos ambiciosos para testes de armas, podemos esperar roubos de criptomoedas e ataques na cadeia de suprimentos de software cada vez mais sofisticados direcionados ao setor de defesa. As equipes de segurança para a defesa e setores relacionados devem permanecer vigilantes contra essas ameaças.
