Instansi pemerintah dan organisasi non-pemerintah di Amerika Serikat telah menjadi target aktor ancaman negara Tiongkok yang baru lahir yang dikenal sebagai Storm-2077.
Musuh, yang diyakini aktif setidaknya sejak Januari 2024, juga telah melakukan serangan siber terhadap Pangkalan Industri Pertahanan (DIB), penerbangan, telekomunikasi, serta layanan keuangan dan hukum di seluruh dunia, kata Microsoft.
Klaster aktivitas tersebut, tambah perusahaan, tumpang tindih dengan kelompok ancaman yang dilacak oleh Grup Insikt Recorded Future sebagai TAG-100.
Rantai serangan melibatkan penargetan berbagai perangkat edge yang terhubung ke internet menggunakan eksploitasi yang tersedia untuk umum untuk mendapatkan akses awal dan menjatuhkan Cobalt Strike serta malware sumber terbuka seperti Pantegana dan Spark RAT, perusahaan keamanan siber mencatat pada bulan Juli.
“Selama dekade terakhir, setelah banyaknya dakwaan pemerintah dan pengungkapan aktivitas pelaku ancaman kepada publik, pelacakan dan pengaitan operasi siber yang berasal dari Tiongkok menjadi semakin menantang ketika para penyerang menyesuaikan taktik mereka,” kata Microsoft.
Storm-2077 dikatakan mengatur misi pengumpulan intelijen menggunakan email phishing untuk mengumpulkan kredensial valid yang terkait dengan aplikasi eDiscovery untuk tindak lanjut eksfiltrasi email, yang mungkin berisi informasi sensitif yang memungkinkan penyerang memajukan operasi mereka.
“Dalam kasus lain, Storm-2077 telah diamati mendapatkan akses ke lingkungan cloud dengan mengumpulkan kredensial dari titik akhir yang disusupi,” kata Microsoft. “Setelah akses administratif diperoleh, Storm-2077 membuat aplikasinya sendiri dengan hak membaca email.”
Pengungkapan ini terjadi ketika Threat Intelligence Group (TAG) Google menyoroti operasi pengaruh (IO) pro-Tiongkok yang disebut GLASSBRIDGE yang menggunakan jaringan situs berita dan layanan kabel berita tidak autentik untuk memperkuat narasi yang selaras dengan pandangan negara dan agenda politik negara tersebut secara global. .
Raksasa teknologi tersebut mengatakan telah memblokir lebih dari seribu situs web yang dioperasikan GLASSBRIDGE agar tidak muncul di produk Google Berita dan Google Discover sejak tahun 2022.
“Situs-situs berita tidak autentik ini dioperasikan oleh sejumlah kecil perusahaan humas digital mandiri yang menawarkan layanan jaringan berita, sindikasi, dan pemasaran,” kata peneliti TAG, Vanessa Molter. “Mereka berperan sebagai outlet independen yang menerbitkan ulang artikel dari media pemerintah RRT, siaran pers, dan konten lain yang mungkin dipesan oleh klien agensi PR lainnya.”
Ini termasuk perusahaan yang dikenal sebagai Shanghai Haixun Technology (yang mencakup kluster HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (alias kampanye PAPERWALL), Shenzhen Bowen Media, dan DURINBRIDGE, yang terakhir adalah perusahaan komersial yang mendistribusikan konten untuk Haixun dan JEMBATAN NAGA.
Shenzhen Bowen Media, sebuah perusahaan pemasaran yang berbasis di Tiongkok, juga dikatakan mengoperasikan World Newswire, layanan siaran pers yang sama yang digunakan oleh Haixun untuk menempatkan konten pro-Beijing di subdomain outlet berita yang sah, seperti yang diungkapkan oleh Mandiant Google pada Juli 2023.
Beberapa subdomain yang teridentifikasi adalah market.post-gazette[.]com, pasar.buffalonews[.]com, bisnis.ricentral[.]com, bisnis.thepilotnews[.]com, dan finance.azcentral[.]com, antara lain.
“Situs berita tidak autentik yang dioperasikan oleh GLASSBRIDGE menggambarkan bagaimana para pelaku operasi informasi telah menggunakan metode di luar media sosial dalam upaya menyebarkan narasi mereka,” kata Molter. “Dengan menyamar sebagai outlet berita independen dan seringkali bersifat lokal, para pelaku IO dapat menyesuaikan konten mereka untuk khalayak regional tertentu dan menampilkan narasi mereka sebagai konten berita dan editorial yang tampaknya sah.”