Het Amerikaanse ministerie van Justitie (DoJ) zegt dat het twee internetdomeinen in beslag heeft genomen en bijna 1.000 sociale media-accounts heeft doorzocht die Russische terroristen naar verluidt gebruikten om op grote schaal heimelijk pro-Kremlin-desinformatie te verspreiden in het land en in het buitenland.
“De sociale media bot farm gebruikte elementen van AI om fictieve sociale media profielen te creëren – vaak die beweren toe te behoren aan personen in de Verenigde Staten – die de beheerders vervolgens gebruikten om berichten te promoten ter ondersteuning van de doelstellingen van de Russische overheid”, aldus het DoJ.
Het botnetwerk, bestaande uit 968 accounts op X, zou deel uitmaken van een ingewikkeld plan dat is bedacht door een werknemer van het Russische staatsmediakanaal RT (voorheen Russia Today), gesponsord door het Kremlin en geholpen door een officier van de Russische Federale Veiligheidsdienst (FSB), die een anonieme particuliere inlichtingendienst heeft opgericht en geleid.
De ontwikkelingsinspanningen voor de botfarm begonnen in april 2022 toen de individuen online infrastructuur aanschaften terwijl ze hun identiteiten en locaties anonimiseerden. Het doel van de organisatie, volgens het DoJ, was om de Russische belangen te bevorderen door desinformatie te verspreiden via fictieve online persona’s die verschillende nationaliteiten vertegenwoordigden.
De nep-accounts op sociale media werden geregistreerd met behulp van privé-e-mailservers die afhankelijk waren van twee domeinen – mlrtr(.)com en otanmail(.)com – die werden gekocht van domeinregistrar Namecheap. X heeft de bot-accounts sindsdien geschorst vanwege het schenden van de servicevoorwaarden.
De informatiecampagne, die gericht was op de VS, Polen, Duitsland, Nederland, Spanje, Oekraïne en Israël, werd uitgevoerd met behulp van een op AI gebaseerd softwarepakket met de naam Meliorator. Dit pakket faciliteerde de massale creatie en exploitatie van de sociale media-botfarm.
“Met behulp van deze tool verspreidden RT-leden desinformatie naar en over een aantal landen, waaronder de Verenigde Staten, Polen, Duitsland, Nederland, Spanje, Oekraïne en Israël”, aldus rechtshandhavingsinstanties uit Canada, Nederland en de VS.
Meliorator bevat een beheerderspaneel met de naam Brigadir en een backendtool met de naam Taras. Hiermee beheert u de accounts die er authentiek uitzien, waarvan de profielfoto’s en biografische informatie zijn gegenereerd met behulp van een open-sourceprogramma met de naam Faker.
Elk van deze accounts had een eigen identiteit of ‘ziel’, gebaseerd op een van de drie botarchetypen: de accounts die politieke ideologieën propageren die gunstig zijn voor de Russische overheid, zoals berichten die al door andere bots zijn gedeeld, en die desinformatie verspreiden die door zowel bot- als niet-botaccounts wordt gedeeld.
Hoewel het softwarepakket alleen op X werd geïdentificeerd, heeft nadere analyse uitgewezen dat de cybercriminelen van plan zijn om de functionaliteit ervan uit te breiden naar andere sociale-mediaplatforms.
Bovendien glipt het systeem door de beveiligingen van X heen om de authenticiteit van gebruikers te verifiëren, door automatisch eenmalige toegangscodes te kopiëren die naar de geregistreerde e-mailadressen zijn verzonden en proxy-IP-adressen toe te wijzen aan door AI gegenereerde persona’s op basis van hun veronderstelde locatie.
“Bot persona-accounts doen duidelijke pogingen om bans voor schendingen van de servicevoorwaarden te vermijden en om niet als bots te worden opgemerkt door op te gaan in de grotere sociale media-omgeving”, aldus de instanties. “Net als authentieke accounts volgen deze bots echte accounts die hun politieke voorkeuren en interesses weerspiegelen die in hun biografie staan.”
“Boeren is een geliefde bezigheid voor miljoenen Russen”, aldus RT tegenover Bloomberg als reactie op de beschuldigingen, zonder deze rechtstreeks te weerleggen.
De ontwikkeling markeert de eerste keer dat de VS publiekelijk de vinger wijst naar een buitenlandse regering voor het gebruik van AI in een buitenlandse beïnvloedingsoperatie. Er zijn geen strafrechtelijke aanklachten openbaar gemaakt in de zaak, maar er loopt nog steeds een onderzoek naar de activiteit.
Dubbelganger leeft voort
Google, Meta en OpenAI hebben de afgelopen maanden gewaarschuwd dat Russische desinformatiecampagnes, waaronder die georkestreerd door een netwerk genaamd Doppelganger, hun platforms herhaaldelijk hebben gebruikt om pro-Russische propaganda te verspreiden.
“De campagne is nog steeds actief, evenals de netwerk- en serverinfrastructuur die verantwoordelijk is voor de distributie van de content”, aldus Qurium en EU DisinfoLab in een nieuw rapport dat donderdag is gepubliceerd.
“Verbazingwekkend genoeg opereert Doppelganger niet vanuit een verborgen datacenter in een Vladivostok-fort of vanuit een afgelegen militaire vleermuisgrot, maar vanuit nieuw opgerichte Russische providers die opereren in de grootste datacenters van Europa. Doppelganger opereert in nauwe samenwerking met cybercriminele activiteiten en affiliate-advertentienetwerken.”
De kern van de operatie wordt gevormd door een netwerk van waterdichte hostingproviders, waaronder Aeza, Evil Empire, GIR en TNSECURITY, die ook command-and-control-domeinen herbergen voor verschillende malwarefamilies zoals Stealc, Amadey, Agent Tesla, Glupteba, Raccoon Stealer, RisePro, RedLine Stealer, RevengeRAT, Lumma, Meduza en Mystic.
Bovendien ontdekte NewsGuard, dat een groot aantal hulpmiddelen biedt om misinformatie tegen te gaan, onlangs dat populaire AI-chatbots de neiging hebben om “verzonnen verhalen van staatssites die zich voordoen als lokale nieuwsbronnen in een derde van hun antwoorden” te herhalen.
Invloedsoperaties vanuit Iran en China
Het komt ook nadat het Amerikaanse Bureau van de Directeur van de Nationale Inlichtingendienst (ODNI) heeft gezegd dat Iran “steeds agressiever wordt in zijn pogingen om buitenlandse invloed te verwerven, en dat het onenigheid probeert te zaaien en het vertrouwen in onze democratische instellingen wil ondermijnen.”
Het agentschap merkte verder op dat de Iraanse actoren hun cyber- en beïnvloedingsactiviteiten blijven verfijnen, door gebruik te maken van socialemediaplatformen en bedreigingen te uiten. Ook versterken ze de pro-Gaza-protesten in de VS door zich online voor te doen als activisten.
Google zei op zijn beurt dat het in het eerste kwartaal van 2024 meer dan 10.000 gevallen van Dragon Bridge-activiteit (ook bekend als Spamouflage Dragon) heeft geblokkeerd. Dragon Bridge is de naam van een spamachtig maar hardnekkig invloedrijk netwerk dat gelinkt is aan China en actief is op YouTube en Blogger. Het netwerk verspreidde verhalen waarin de VS in een negatief daglicht werd gesteld en verspreidde content over de verkiezingen in Taiwan en de oorlog tussen Israël en Hamas, die gericht was op Chinees sprekende mensen.
Ter vergelijking: de techgigant heeft in 2022 maar liefst 50.000 van dergelijke incidenten verstoord en in 2023 nog eens 65.000. In totaal heeft het tot nu toe meer dan 175.000 incidenten voorkomen tijdens de levensduur van het netwerk.
“Ondanks hun voortdurende overvloedige contentproductie en de omvang van hun activiteiten, bereikt DRAGONBRIDGE vrijwel geen organische betrokkenheid van echte kijkers”, aldus Zak Butler, onderzoeker bij Threat Analysis Group (TAG). “In de gevallen waarin DRAGONBRIDGE-content wel betrokkenheid ontving, was deze bijna volledig onecht, afkomstig van andere DRAGONBRIDGE-accounts en niet van authentieke gebruikers.”
