Overheidsinstanties en niet-gouvernementele organisaties in de Verenigde Staten zijn het doelwit geworden van een opkomende Chinese staatsdreigingsspeler die bekend staat als Storm-2077.
De tegenstander, die vermoedelijk al sinds januari 2024 actief is, heeft ook cyberaanvallen uitgevoerd tegen de Defense Industrial Base (DIB), de luchtvaart, de telecommunicatie en financiële en juridische diensten over de hele wereld, aldus Microsoft.
Het activiteitencluster, voegde het bedrijf eraan toe, overlapt met een dreigingsgroep die de Insikt Group van Recorded Future volgt als TAG-100.
Aanvalsketens omvatten het aanvallen van verschillende internetgerichte edge-apparaten met behulp van openbaar beschikbare exploits om initiële toegang te krijgen en Cobalt Strike te verwijderen, evenals open-source malware zoals Pantegana en Spark RAT, merkte het cyberbeveiligingsbedrijf in juli op.
“In de afgelopen tien jaar is het volgen en toeschrijven van cyberoperaties afkomstig uit China, na talloze aanklachten door de overheid en de publieke bekendmaking van de activiteiten van bedreigingsactoren, steeds uitdagender geworden naarmate de aanvallers hun tactieken aanpassen”, aldus Microsoft.
Er wordt gezegd dat Storm-2077 missies voor het verzamelen van inlichtingen orkestreert met behulp van phishing-e-mails om geldige inloggegevens te verzamelen die zijn gekoppeld aan eDiscovery-applicaties voor vervolgexfiltratie van e-mails, die gevoelige informatie kunnen bevatten waarmee aanvallers hun activiteiten kunnen bevorderen.
“In andere gevallen is waargenomen dat Storm-2077 toegang kreeg tot cloudomgevingen door inloggegevens van gecompromitteerde eindpunten te verzamelen”, aldus Microsoft. “Zodra beheerderstoegang was verkregen, creëerde Storm-2077 hun eigen applicatie met e-mailleesrechten.”
De onthulling komt op het moment dat de Threat Intelligence Group (TAG) van Google licht werpt op een pro-Chinese invloedsoperatie (IO), genaamd GLASBRIDGE, die een netwerk van niet-authentieke nieuwssites en nieuwsdiensten gebruikt om verhalen te versterken die aansluiten bij de standpunten en politieke agenda van het land wereldwijd. .
De technologiegigant zei dat het sinds 2022 meer dan duizend door GLASSBRIDGE beheerde websites heeft geblokkeerd voor weergave in zijn Google News- en Google Discover-producten.
“Deze niet-authentieke nieuwssites worden beheerd door een klein aantal op zichzelf staande digitale PR-bedrijven die newswire-, syndicatie- en marketingdiensten aanbieden”, aldus TAG-onderzoeker Vanessa Molter. “Ze doen zich voor als onafhankelijke media die artikelen van de staatsmedia van de VRC, persberichten en andere inhoud opnieuw publiceren, waarschijnlijk in opdracht van andere klanten van PR-bureaus.”
Dit omvat bedrijven die bekend staan als Shanghai Haixun Technology (waartoe het HaiEnergy-cluster behoort), Times Newswire/Shenzhen Haimai Yunxiang Media (ook bekend als de PAPERWALL-campagne), Shenzhen Bowen Media en DURINBRIDGE, waarvan de laatste een commercieel bedrijf is dat inhoud distribueert voor Haixun en DRAKENBRUG.
Shenzhen Bowen Media, een in China gevestigd marketingbedrijf, zou ook World Newswire exploiteren, dezelfde persberichtendienst die door Haixun wordt gebruikt om pro-Beijing-inhoud op de subdomeinen van legitieme nieuwskanalen te plaatsen, zoals onthuld door Google’s Mandiant in juli 2023.
Enkele van de geïdentificeerde subdomeinen waren markten.post-gazette(.)com, markten.buffalonews(.)com, business.ricentral(.)com, business.thepilotnews(.)com en financiën.azcentral(.)com, waaronder anderen.
“De niet-authentieke nieuwssites van GLASSBRIDGE illustreren hoe actoren op het gebied van informatieoperaties methoden hebben omarmd die verder gaan dan sociale media in een poging hun verhalen te verspreiden”, aldus Molter. “Door zich voor te doen als onafhankelijke, en vaak lokale nieuwskanalen, kunnen IO-actoren hun inhoud afstemmen op een specifiek regionaal publiek en hun verhalen presenteren als ogenschijnlijk legitieme nieuws- en redactionele inhoud.”