Desde junho de 2023, a Microsoft observou várias tendências notáveis de cibersegurança e influência da China e da Coreia do Norte que indicam que grupos de ameaças de estado-nação estão intensificando seus ataques em alvos familiares, utilizando técnicas de influência mais sofisticadas para alcançar seus objetivos. Para proteger suas organizações contra os mais recentes vetores de ataque e ameaças de estado-nação, as equipes de segurança devem estar atentas a essas tendências.

Até agora, os atores chineses têm direcionado amplamente três áreas principais: entidades nas ilhas do Pacífico Sul, adversários regionais no Mar da China Meridional e a base industrial de defesa dos EUA. Enquanto isso, os atores de influência chineses têm sido capazes de aprimorar o uso de conteúdo gerado por inteligência artificial (IA) e aprimorado por IA, além de experimentar com novas mídias na tentativa de instigar divisões nos EUA e agravar os conflitos na região Ásia-Pacífico.

Os atores de ameaças norte-coreanos roubaram centenas de milhões de dólares em criptomoedas, realizaram ataques à cadeia de suprimentos de software e visaram seus adversários percebidos em termos de segurança nacional em 2023. Essas operações são usadas para gerar receita para o governo norte-coreano, principalmente seu programa de armas, e obter inteligência sobre os EUA, Coreia do Sul e Japão. Estima-se que os atores de ciberameaças norte-coreanos roubaram mais de $3 bilhões em criptomoedas desde 2017, com vários roubos totalizando entre $600 milhões e $1 bilhão apenas em 2023.

Um ator de ameaças rastreado pela Microsoft, chamado Sapphire Sleet, realizou uma série de pequenos, mas frequentes, roubos de criptomoedas. O grupo desenvolveu novas técnicas para realizar essas operações, como enviar convites falsos para reuniões virtuais contendo links para um domínio de ataque e registrar sites falsos de recrutamento de emprego. Sapphire Sleet é conhecido por visar executivos e desenvolvedores de criptomoedas, capital de risco e outras organizações financeiras.

Também vimos atores de ameaças norte-coreanos realizarem ataques à cadeia de suprimentos de software em empresas de TI, resultando em acesso aos clientes downstream. Um grupo, conhecido como Jade Sleet, utilizou repositórios do GitHub e pacotes npm militarizados em uma campanha de spear-phishing de engenharia social que visava funcionários de organizações de criptomoedas e tecnologia. Os atacantes se passaram por desenvolvedores ou recrutadores, convidaram os alvos a colaborar em um repositório do GitHub e os convenceram a clonar e executar seu conteúdo, que continha pacotes npm maliciosos.

Outro grupo, conhecido como Onyx Sleet, explorou a vulnerabilidade CVE-2023-42793 do TeamCity para realizar um ataque de execução remota de código e obter controle administrativo dos servidores. O grupo foi associado a ataques à cadeia de suprimentos de software em pelo menos 10 vítimas, incluindo um provedor de software na Austrália e um órgão governamental na Noruega, e utilizou ferramentas pós-comprometimento para executar cargas adicionais.

À medida que a Coreia do Norte embarca em novas políticas governamentais e busca planos ambiciosos para testes de armas, podemos esperar roubos de criptomoedas e ataques à cadeia de suprimentos cada vez mais sofisticados direcionados ao setor de defesa. As equipes de segurança para defesa e indústrias relacionadas devem permanecer vigilantes contra essas ameaças.