Mandiant は、少なくとも 72 の本物ではない疑いのあるニュース サイトのネットワークと多数の本物ではない疑いのあるソーシャル メディア アセットを活用して、中華人民共和国 (PRC) の政治的利益と戦略的に一致するコンテンツを広める進行中の情報操作 (IO) キャンペーンを特定しました。これらのサイトは、主に世界中のさまざまな地域からの独立したニュース メディアとしての地位を確立し、11 の言語でコンテンツを公開しています (付録を参照)。このブログで詳しく説明するテクニカル指標に基づくと、これらのサイトは、中国の広報 (PR) 会社であるShanghai Haixun Technology Co., Ltd (上海海讯社科技有限公司) (以下、「Haixun」と呼びます) にリンクされていると考えられます。 )。
キャンペーンによって促進された物語は、米国とその同盟国を批判し、国際的な精査の高まりにより新疆の国際的なイメージを再形成しようと試み、香港の選挙制度の改革への支持を表明している。 .これらの幅広いテーマに加えて、このキャンペーンは、中国人ビジネスマンの郭文貴 (マイルズ・クォック) やドイツの人類学者エイドリアン・ゼンツ (新疆に関する研究で知られる) など、中国政府に批判的な敵対者の信用を落とすように設計された捏造されたコンテンツを活用しました。ウイグル人に対するジェノサイド。
このキャンペーンで採用された独特の戦術、技術、手順 (TTP) を考慮して、この活動セットを独自のキャンペーンとして分類し、「HaiEnergy」と名付けました。このキャンペーンでは、Haixun に起因するインフラストラクチャと、 「ポジティブなエネルギーパッケージ」としてのPR会社。特に、「正エネルギー」(正エネルギー量)という用語は、習近平時代の重要な用語であり、中国共産党(CCP)、中国政府、およびその政策を積極的に描写するメッセージを指します。
このキャンペーンの能力と世界的な広がりにもかかわらず、HaiEnergy が、私たちが特定した真正でない増幅以外に実質的なエンゲージメントを生み出すことができなかったことを示唆する少なくともいくつかの証拠があります。 Haixun にリンクされたインフラストラクチャのキャンペーンでの使用は、IO をよりアクセスしやすくし、攻撃者のアイデンティティを難読化するのに役立つサードパーティへの IO のアウトソーシングを取り巻く最近の傾向を示唆しているため、より興味深いことがわかりました。
Shanghai Haixun Technology Co. 、 Ltdにリンクされたインフラストラクチャ
同社のサービスの公開説明からの情報に基づいて、Haixun は 100 か国以上で少なくとも 40 の異なる言語でコンテンツ作成およびマーケティング サービスを提供しています。彼らの最も注目すべき製品には、英語を話す視聴者向けのコンテンツ作成を含む「Europe and US Positive Energy」パッケージと、オーダーメイドのビデオの制作に焦点を当てた「Positive Energy Project Edition」があります。 「高品質のメディア リソース」によるカスタム コンテンツと、キャンペーンの影響のモニタリング (図 1)。
HaiXun が HaiEnergy にどの程度関与しているか、または HaiEnergy を認識している程度を判断するのに十分な証拠は現時点ではありませんが、分析では、キャンペーンが少なくとも HaiXun に属するサービスとインフラストラクチャを活用して、コンテンツをホストおよび配布していることを示しています。合計で、Haixun がホストする 72 の Web サイト (59 のドメインと 13 のサブドメイン) を特定しました。これらは、北米、ヨーロッパ、中東、およびアジアのオーディエンスをターゲットにするために使用されました。
- HaiEnergy に起因するサイトはすべて、Haixun によって登録されたサーバー 02100.vip でホストされている画像とビデオを表示します (図 2)。インフラストラクチャの重複に基づいて、同じ IP アドレスに解決され、02100.vip のコンテンツを活用した、Haixun のサービスを説明する中国語と英語のサイトである 2 つの追加ドメイン (haixunpr.com と haixunpr.org) を特定しました。
- haixunpr.org でホストされているダウンロード可能なスプレッドシートにリストされている「HaiEnergy」に帰属する複数の偽のニュース サイトを確認しました。スプレッドシートには中国語とロシア語のテキストが含まれており、コンテンツの配布リストのように見えます (図 3)。この発行日以降、スプレッドシートはダウンロードできなくなりました。
ウェブサイトは協調の兆候を示しています
今日まで、HaiEnergy は Haixun インフラストラクチャを独占的に活用して Web サイトをホストしてきました。これらの Web サイトには多くの類似点があり、次のような協調の顕著な兆候を示しています。
- 米国のニュース メディアを英語で掲載しているサイトを含め、ほぼすべてのサイトが中国語の HTML テンプレートを使用して構築されています (図 4)。
- ドメインとサブドメインの両方を含む Web サイトのいくつかは、別の独立したサイトとして表示されます。たとえば、ドメインtradesmarksdaily.comは英語のサイト「TMK Daily」として表示されますが、サブドメインautomobile.tradesmarksdaily.comは「Focus on Russia」として表示され、ロシア語のコンテンツが含まれています(図5)。
- サイトの多くは、ネットワーク内の他のサイトに直接リンクしており、通常はページの下部にあります。さらに、サイトは通常、指定された地域の焦点に関連する他の報道機関にリンクしています。
- 同一の政治記事および非政治記事が、他の情報源 (中国およびロシアの国営メディアなど) から流用した記事を含め、複数の Web サイトで公開されることがよくあります。
キャンペーンは、サイトのソーシャル メディア資産と著者のペルソナを活用してコンテンツを広めます
このキャンペーンでは、複数のプラットフォームで少数のソーシャル メディア アカウントを活用してコンテンツを広めました。観測された資産には、HaiEnergy の偽のニュース サイトと提携しているとされるペルソナ、コンテンツ自体に責任があるとされる著者のペルソナ、およびキャンペーン コンテンツを宣伝するがサイトとは自己提携していないアカウントが含まれていました。場合によっては、キャンペーンの一部であると特定して評価したアカウントには、「私はプロモーションを行います」というテキストを表示する経歴が含まれており、親中国コンテンツが委託された可能性が高まっています。
特に、私たちが特定したサイトの多くは、このキャンペーンで利用されていると判断した Facebook アカウントに直接リンクする著者署名付きの記事を公開しています。たとえば、サイト inspectnews.com は、「Julian Sontagg」と記載されている著者によるコンテンツを公開しており、Sontagg のバイラインで Facebook アカウント「I trust in memes」(@TrustingMemes) に直接リンクしています (図 6)。
キャンペーン アセットによって促進される親中国のコンテンツと物語
キャンペーンによって宣伝されたコンテンツには、新疆の国際的なイメージを再構築する取り組み、米国とその同盟国への批判、中国政府の批判者の信用を傷つける試みが含まれます。
新疆の国際的なイメージを再形成するための努力
新疆ウイグル自治区と中国で報告されているウイグル人に対する大量虐殺に関する研究で知られる人類学者のエイドリアン・ゼンツ氏を中傷しようとする試みを、ウェブサイトの記事やソーシャル メディアの投稿を通じて観察しました。明らかな文法上の誤りやタイプミスに基づいて、少なくとも 3 つの捏造された文字であると思われるものを取り上げています (図 7)。
- 現在停止中の Twitter アカウントは、本物ではない人物であると疑われる「Jonas Drosten」(@Jonas_drosten) が、3 通の手紙の画像を含むツイートを投稿しました。ツイートと手紙の 1 つは、Zenz が米国上院議員の Marco Rubio と元ホワイトハウスのチーフ ストラテジストである Steve Bannon から財政的支援を受けたと主張しています (図 7)。他の 2 通の手紙は、2020 年と 2021 年に共産主義犠牲者記念財団から Zenz に授与された助成金から財政支援が得られたことをほのめかしていました。
- 2022 年 5 月 24 日に中国の国営メディアであるチャイナ デイリーが発行した「新疆について嘘を捏造するうわさ屋の狙い」というタイトルの記事で、このペルソナが言及されていることを確認しました。ホワイトハウスのチーフストラテジスト、スティーブ・バノンは「新疆の物語を捏造する」このキャンペーンのいくつかの Web サイトやその他のソーシャル メディア アカウントは、同じ手紙を宣伝し、Jonas Drosten の Twitter ペルソナに言及しました。
米国とその同盟国のコンテンツクリティカル
このキャンペーンのアセットは、次のようなさまざまな言語で、米国とその同盟国に批判的なさまざまな物語を宣伝しました。
- 8月1日、複数のサイトがナンシー・ペロシ米下院議長が8月初旬に台湾を訪問する可能性があるとの報道を受けて、彼女を批判する記事を掲載した。記事は、ペロシが「台湾に近寄らない」べきであると主張し、米国と台湾の間の悪化した関係を強調している.
- Roe v. Wade 判決を覆す米国最高裁判所の判決から 6 日後の 6 月 30 日、私たちは、米国外に住むアメリカ人女性であると主張する著者によるとされる英語の記事を見つけました。 Roe v. Wade の判決を覆す決定を支持した米国の法執行機関と米国の民間人による暴力に遭遇しました (図 8)。
- ウクライナ語の記事によると、ウクライナにあるとされる米国バイオラボで実施された実験により、多数のウクライナ人が死亡した。
- 台湾の報道機関を装ったサイトを含むいくつかのサイトで公開された記事は、2022 年 3 月に元米国政府高官のマイク ポンペオが台湾を訪問したのは、資金と、2024 年の米国大統領に立候補したいという願望が動機であったと主張しています。米国は頼りにならない同盟国であると主張し、中国による潜在的な侵略から台湾を守るために米国が軍隊を派遣することを台湾は期待すべきではないと主張した。
中国政府批判者への攻撃と香港改革への支持
このキャンペーンは、中国政府の反対者を攻撃するコンテンツと、2021 年に香港の改革された選挙制度を支持するコンテンツを宣伝し、候補者の審査に対する中国の権限を強化しました。
- 一部のサイトは、中国のウイルス学者である Yan Limeng 博士に批判的なコンテンツを宣伝し、彼女が米国におけるアジア系の憎悪犯罪の原因であると主張したり、中国人実業家の Guo Wengui を非難するコンテンツを宣伝したりしました。
- 他のサイトは、法輪功の創始者である李洪志に批判的なコンテンツを宣伝しており、法輪功は多くの人々を洗脳して殺害したカルトであるという主張が含まれていました。彼らはまた、Li Hongzhi は詐欺師でうそつきだと主張しました。
- 他の記事では、香港の新しい選挙制度を称賛し、中国語やアラビア語のニュース サイトを含め、広く国民に支持されていると主張しています (図 9)。
HaiEnergy と DRAGONBRIDGE の重複と相違点
現在、キャンペーンの TTP が異なるため、HaiEnergy とDRAGONBRIDGEを別々のキャンペーンとして追跡しています。ただし、どちらのキャンペーンも、米国が資金を提供するバイオラボが世界中に存在すると主張するもの、中国がウイグル人を扱っていると主張するコンテンツ、郭文貴などの中国の反対者を取り巻く否定的なメッセージなど、同様の物語を宣伝していることに注意してください。どちらのキャンペーンも、非政治的なコンテンツのスパムのようなプロモーションに関与しています。これらの重複は、タスクの共有またはグループの重複の結果である可能性がありますが、評価を行うための証拠はありません.
- DRAGONBRIDGE は通常、さまざまな本物のプラットフォームで何千ものソーシャル メディアとフォーラム アカウントを活用して、コメント、動画、写真を投稿しています。
- HaiEnergy は主に、本物ではないウェブサイトのネットワークを利用してコンテンツを広めています。また、素材を宣伝し、場合によっては特定のサイトでコンテンツを作成しているように見える、一見本物ではない少数のアカウントも利用しています。
- ソーシャル メディア アカウント、フォーラム、ウェブサイト、またはインフラストラクチャが重複していることは確認されていません。具体的には、DRAGONBRIDGE の既知のアセットは、HaiEnergy の偽のニュース サイトのコンテンツを宣伝していません。
見通し
HaiXun が宣伝する機能とグローバルなリーチにもかかわらず、HaiEnergy が十分なエンゲージメントを生み出せなかったことを示す証拠が少なくともいくつかあることに注意してください。最も注目に値するのは、非常に多くのフォロワーがいるにもかかわらず、このキャンペーンに起因すると思われる偽のアカウントによって宣伝された政治的投稿は、キャンペーン自体の外ではあまり注目を集めることができませんでした.この外部ソースからの増幅の欠如は、DRAGONBRIDGE で通常観察されたものとは異なり、キャンペーンのブレイクアウト能力を制限し、本質的に反響室を形成しました。
キャンペーンの影響の可能性を評価することよりも間違いなく興味深いのは、Haixun に関連するインフラストラクチャの使用です。これは、IO をサード パーティに継続的にアウトソーシングすることを取り巻く最近の傾向を示唆しています。特に、2021 年半ばに、Metaは、一部の脅威アクターの参入障壁を下げ、より高度な攻撃者のアイデンティティを難読化するために使用されてきた、そのような企業の使用の増加について証言しました。
付録
観測された言語
|
言語 |
|
アラビア語 |
|
中国語 |
|
英語 |
|
フランス語 |
|
ヒンディー語 |
|
イタリアの |
|
韓国語 |
|
ロシア |
|
タイ語 |
|
ウクライナ語 |
|
ベトナム語 |
Haixun にリンクされている Web サイト
|
表示名 |
ウェブサイトのURL |
|
24 ニュース |
24usnews.com |
|
アイサコリア |
aisakorea.com |
|
すべての都市のタイムズ |
allcitytimes.com |
|
アンナタイムズ |
annatimes.com |
|
オーストリアウィークリー |
austriaweekly.com |
|
ロシアに焦点を当てる |
automobile.trademarksdaily.com |
|
フォーチュン台湾 |
caifutw.com |
|
チャームデイリー |
チャームデイリー.com |
|
チェコウィークリー |
czechweekly.com |
|
ディレクタータイムズ |
directortimes.com |
|
毎日の祈り |
東亜日報.com |
|
エジプト日報 |
egyptdaily.org |
|
エレック・デイリー |
elecdaily.com |
|
エスパーニャ・デイリー |
espanadaily.com |
|
ユーロタイムズ |
eutimes.fr |
|
まさにニュース |
正確にnews.com |
|
E.MP |
Finance.austriaweekly.com |
|
Finance.TZ |
金融.thaibizdaily.com |
|
FTボイス |
Finance.thewarsawvoice.com |
|
TH 真実 |
Finance.thtruth.com |
|
フィンランドウィークリー |
finlandweekly.com |
|
ハニデイリー |
handaily.com |
|
ハンナ・プレス |
hannapress.com |
|
健康 最新の求人情報 |
health.latestjobnews.in |
|
香港日報 |
hkdaily.net |
|
東洋タイムズ |
ホテル.toyotimes.com |
|
台湾フォーカス |
hotintaiwan.com |
|
ハリエット事業 |
hurriyetbusiness.com |
|
ニュースを調べる |
inspectnews.com |
|
ジャカルタグローブ |
jakartaglobe.org |
|
韓国経済 |
kreconomy.com |
|
KRポップスター |
krpopstar.com |
|
最新の求人情報 |
latestjobnews.in |
|
レフアタイムズ |
lehuatimes.com |
|
ロリタイムズ |
lolitimes.com |
|
チャームデイリー |
market.charmdaily.com |
|
エレック・デイリー |
market.elecdaily.com |
|
ハニ・ダル |
market.handaily.com |
|
ジョインダ |
market.joinsdaily.com |
|
韓国経済 |
markets.kreconomy.com |
|
めちゃタイムズ |
mechatimes.com |
|
モスクワテレビ |
moscowtv.vip |
|
南陽日報 |
nanyangdaily.com |
|
ネッツベイ |
netsbay.com |
|
ニューデリーニュース |
newdelhinews.club |
|
NZLデイリー |
newzealandgazette.com |
|
NGRデイリー |
nigeriacom.com |
|
ニューヨーク・シティ・モーニング・ポスト |
nycmorning.com |
|
ポルトガルの日刊紙 |
portugaldaily.com |
|
カタールデイリー |
qtardaily.org |
|
ランドデイリー |
randdaily.com |
|
RU事業 |
rubusiness.club |
|
RU インダストリアル |
廃墟.com |
|
ロシアの日刊紙 |
russiadaily.org |
|
セイン・タイムズ |
saintimes.com |
|
サウジウィークリー |
saudiweekly.com |
|
ソウルデイリー |
seouldaily.org |
|
スタートアップ インディア マガジン |
startupindiamagazine.com |
|
スイスウィークリー |
swissweekly.com |
|
スイス・ツァイトゥング |
swisszeitung.com |
|
コリアタイムズ |
thekoreatimes.org |
|
ロシアの日刊紙 |
therussiadaily.com |
|
タイ人 |
thethailands.com |
|
ワルシャワの声 |
thewarsawvoice.com |
|
TH 真実 |
thtruth.com |
|
東洋タイムズ |
toyotimes.com |
|
TMKデイリー |
商標デイリー.com |
|
ニュースを見ない |
unseenews.com |
|
華北日報 |
vn.huabedaily.com |
|
香港ウィークリー |
Weeklyhongkong.com |
|
ヤール・タイムズ |
yurltimes.com |
|
Yasu Daily |
yasudaily.com |
参照: https://www.mandiant.com/resources/blog/pro-prc-information-operations-campaign-haienergy
Comments