blank

blank

A Mandiant identificou uma campanha de operações de informação (IO) em andamento, alavancando uma rede de pelo menos 72 sites de notícias suspeitos de inautênticos e vários ativos de mídia social suspeitos de inautênticos para disseminar conteúdo estrategicamente alinhado com os interesses políticos da República Popular da China (RPC). Os sites se apresentam principalmente como agências de notícias independentes de diferentes regiões do mundo e publicam conteúdo em 11 idiomas (consulte o Apêndice). Com base nos indicadores técnicos que detalhamos neste blog, acreditamos que esses sites estão vinculados à Shanghai Haixun Technology Co., Ltd (上海海讯社科技有限公司), uma empresa chinesa de relações públicas (RP) (doravante denominada “Haixun”).

As narrativas promovidas pela campanha criticam os EUA e seus aliados, tentam reformular a imagem internacional de Xinjiang devido ao crescente escrutínio internacional e expressam apoio à reforma do sistema eleitoral de Hong Kong – uma mudança que deu à RPC mais poder sobre a verificação de candidatos locais . Além desses temas mais amplos, a campanha aproveitou o conteúdo fabricado projetado para desacreditar os oponentes que criticaram o governo chinês, incluindo o empresário chinês Guo Wengui (Miles Kwok) e o antropólogo alemão Adrian Zenz – conhecido por sua pesquisa sobre Xinjiang – e o relatório da China genocídio contra a população uigur.

Dadas as táticas, técnicas e procedimentos distintos (TTPs) empregados por esta campanha, estamos classificando este conjunto de atividades como sua própria campanha, que apelidamos de “HaiEnergy” – decorrente do uso da campanha da infraestrutura atribuída à Haixun e serviços anunciados por a empresa de relações públicas como “pacotes de energia positiva”. Notavelmente, o termo “energia positiva” (正能量) é um termo importante na era Xi Jinping que se refere a mensagens que retratam positivamente o Partido Comunista Chinês (PCC), o governo chinês e suas políticas.

Apesar das capacidades e alcance global desta campanha, há pelo menos algumas evidências que sugerem que a HaiEnergy não conseguiu gerar engajamento substancial fora da amplificação inautêntica que identificamos – uma limitação que também observamos em nosso recente relatório público sobre o DRAGONBRIDGE. Achamos mais interessante o uso da infraestrutura vinculada ao Haixun pela campanha, pois sugere tendências recentes em torno da terceirização de IO para terceiros, o que pode tornar o IO mais acessível e ajudar a ofuscar as identidades de um ator.

Infraestrutura ligada à Shanghai Haixun Technology Co., Ltd (上海海社科技有限公司)

Com base em informações de descrições públicas dos serviços da empresa, a Haixun oferece serviços de criação e marketing de conteúdo em pelo menos 40 idiomas diferentes em mais de 100 países. Entre suas ofertas mais notáveis ​​estão o pacote “Europe and US Positive Energy”, que inclui a criação de conteúdo ostensivamente voltado para o público de língua inglesa, e o “Positive Energy Project Edition”, que se concentra na produção de vídeos sob medida, promoção de conteúdo personalizado por meio de “recursos de mídia de alta qualidade” e monitoramento do impacto da campanha (Figura 1).

blank
Figura 1: O site da Haixun oferece uma variedade de “pacotes”, incluindo Energia Positiva

Embora atualmente não tenhamos evidências suficientes para determinar até que ponto a Haixun está envolvida ou mesmo ciente da HaiEnergy, nossa análise indica que a campanha pelo menos alavancou serviços e infraestrutura pertencentes à Haixun para hospedar e distribuir conteúdo. No total, identificamos 72 sites (59 domínios e 14 subdomínios) hospedados pela Haixun, que foram usados ​​para atingir públicos na América do Norte, Europa, Oriente Médio e Ásia.

 Todos os sites atribuídos à HaiEnergy exibem imagens e vídeos hospedados no servidor 02100.vip, que é registrado pela Haixun (Figura 2). Com base na sobreposição de infraestrutura, identificamos dois domínios adicionais (haixunpr.com e haixunpr.org)—sites em chinês e inglês que descrevem os serviços da Haixun—que resolveram para o mesmo endereço IP e aproveitaram o conteúdo de 02100.vip.

  • Observamos vários sites de notícias inautênticos que atribuímos a “HaiEnergy” listados em uma planilha para download hospedada em haixunpr.org. A planilha apresenta texto em chinês e russo e parece ser uma lista de distribuição de conteúdo (Figura 3). Observamos que a planilha não está mais disponível para download na data desta publicação.
blank
Figura 2: Exemplo de site na rede, Unseenews.com, exibe conteúdo hospedado em 02100.vip
blank
Figura 3: Planilha anteriormente disponível para download em haixunpr.org exibe alguns dos sites que julgamos fazer parte da rede em russo e chinês

Sites exibem sinais de coordenação

Até o momento, a HaiEnergy aproveitou exclusivamente a infraestrutura Haixun para hospedar sites. Esses sites possuem várias semelhanças e exibem sinais notáveis ​​de coordenação, incluindo:

  • Quase todos os sites, incluindo aqueles que se apresentam como agências de notícias americanas em inglês, são construídos com um modelo HTML em chinês (Figura 4).
  • Vários dos sites que incluem um domínio e um subdomínio se apresentam como sites diferentes e independentes. Por exemplo, o domínio trademarksdaily.com se apresenta como o site em inglês “TMK Daily”, enquanto o subdomínio automóvel.tradesmarksdaily.com se apresenta como “Focus on Russia” e contém conteúdo em russo (Figura 5).
  • Muitos dos sites têm links diretos para outros sites da rede, geralmente na parte inferior de suas páginas. Além disso, os sites geralmente vinculam-se a outros meios de comunicação relacionados ao seu foco regional declarado.
  • Artigos políticos e apolíticos idênticos são frequentemente publicados em vários sites, incluindo artigos apropriados de outras fontes (por exemplo, meios de comunicação controlados pelo Estado chinês e russo).
blank
Figura 4: Exemplo de site na rede, 24usnews.com, construído com modelo HTML em chinês
blank
Figura 5: Domínio trademarksdaily.com apresentado como “TMK Daily” (topo) em inglês; subdomínio automóvel.trademarksdaily.com é apresentado como “Foco na Rússia” na Rússia (abaixo)

Campanha aproveita recursos de mídia social de sites e personas de autores para disseminar conteúdo

A campanha também alavancou um pequeno número de contas de mídia social em várias plataformas para divulgar conteúdo. Os ativos observados incluíam personas apresentadas como afiliadas aos sites de notícias não autênticos da HaiEnergy, personas de autores supostamente responsáveis ​​pelo conteúdo em si e contas que promovem o conteúdo da campanha, mas não se afiliam aos sites. Em alguns casos, as contas que identificamos e avaliamos como parte da campanha apresentavam biografias que exibiam o texto “Eu faço promoções pagas”, levantando a possibilidade de que o conteúdo pró-RPC tenha sido encomendado.

 Notavelmente, muitos dos sites que identificamos publicaram artigos com assinaturas de autores diretamente vinculadas a contas do Facebook que julgamos serem aproveitadas nesta campanha. Por exemplo, o site inspectnews.com publicou conteúdo de um autor listado como “Julian Sontagg”, que vincula diretamente à conta do Facebook “I trust in memes” (@TrustingMemes) na assinatura de Sontagg (Figura 6).

Figura 6: Persona do autor “Julian Sonntag” em inspectnews.com (topo) links para a conta do Facebook “Eu confio em memes”, que publica conteúdo idêntico (abaixo)

blank
Figura 6: Persona do autor “Julian Sonntag” em inspectnews.com (topo) links para a conta do Facebook “Eu confio em memes”, que publica conteúdo idêntico (abaixo)

Conteúdo e narrativas pró-RPC promovidos por recursos de campanha

O conteúdo promovido pela campanha inclui esforços para remodelar a imagem internacional de Xinjiang, críticas aos EUA e seus aliados e tentativas de desacreditar os críticos do governo da RPC.

Esforços para remodelar a imagem internacional de Xinjiang

Observamos esforços para difamar o antropólogo Adrian Zenz – conhecido por sua pesquisa sobre Xinjiang e o genocídio relatado na China contra a população uigur – por meio de artigos em sites e postagens de mídia social apresentando o que suspeitamos ser pelo menos três letras fabricadas com base em erros gramaticais e erros de digitação óbvios ( Figura 7).

  • Uma conta do Twitter, agora suspensa, pertencente a uma pessoa suspeita como inautêntica “Jonas Drosten” (@Jonas_drosten), postou um tweet contendo imagens de três letras. O tweet e uma das cartas alegavam que Zenz recebeu apoio financeiro do senador norte-americano Marco Rubio e do ex-estrategista-chefe da Casa Branca Steve Bannon (Figura 7). As outras duas cartas implicavam que o apoio financeiro veio de doações concedidas a Zenz da Fundação Memorial às Vítimas do Comunismo em 2020 e 2021.
  • Observamos essa persona mencionada em um artigo publicado pelo meio de comunicação estatal chinês China Daily em 24 de maio de 2022 intitulado “Agenda de boatos na fabricação de mentiras sobre Xinjiang”, que alegou que Zenz recebeu fundos ilicitamente de uma fonte desconhecida ligada ao ex-presidente O estrategista-chefe da Casa Branca, Steve Bannon, para “fabricar histórias de Xinjiang”. Vários sites e outras contas de mídia social nesta campanha promoveram as mesmas cartas e mencionaram a persona de Jonas Drosten no Twitter.
blank
Figura 7: A conta do Twitter de Jonas Drosten persona (canto superior esquerdo) posta carta fabricada supostamente assinada por Marco Rubio (canto superior direito); O site de notícias inautêntico Swiss Zeitung vinculado a Haixun promove uma história sobre Zenz citando a persona de Jonas Drosten (abaixo)

Conteúdo crítico dos EUA e seus aliados

Os recursos desta campanha promoveram várias narrativas críticas aos EUA e seus aliados em diferentes idiomas, incluindo:

  • Em 1º de agosto, vários sites publicaram artigos críticos da presidente da Câmara dos EUA, Nancy Pelosi, em resposta a relatos de que ela pode visitar Taiwan no início de agosto. Os artigos afirmam que Pelosi deve “ficar longe de Taiwan” e destacar as relações manchadas percebidas entre os EUA e Taiwan.
  • Em 30 de junho, seis dias após a decisão da Suprema Corte dos EUA de derrubar Roe v. Wade, observamos um artigo em inglês supostamente de uma autora que afirmava ser uma mulher americana que morava fora dos EUA, que alegava que os manifestantes contra a decisão haviam sido enfrentou violência por parte da aplicação da lei dos EUA e civis dos EUA que apoiaram a decisão de derrubar Roe v. Wade (Figura 8).
  • Um artigo em língua ucraniana afirmou que experimentos realizados em supostos biolaboratórios dos EUA na Ucrânia resultaram em inúmeras mortes ucranianas.
  • Um artigo publicado em vários sites, incluindo um que pretende ser uma agência de notícias de Taiwan, afirmou que a visita do ex-funcionário do governo dos EUA Mike Pompeo a Taiwan em março de 2022 foi motivada por dinheiro e seu suposto desejo de concorrer à presidência dos EUA em 2024. Além disso, retratou os EUA como um aliado não confiável, argumentando que Taiwan não deve esperar que os EUA enviem tropas para defendê-lo de uma possível invasão da China.
blank
Figura 8: Site inautêntico publica artigo crítico da decisão da Suprema Corte dos EUA de derrubar Roe v. Wade

Ataques a críticos do governo da RPC e apoio à reforma de Hong Kong

A campanha promoveu conteúdo atacando oponentes do governo da RPC e conteúdo em apoio ao sistema eleitoral reformado de Hong Kong em 2021, que deu à RPC mais poder sobre a verificação de candidatos.

  • Alguns dos sites promoveram conteúdo crítico do virologista chinês Dr. Yan Limeng e alegaram que ela é a causa dos crimes de ódio asiáticos nos EUA, bem como conteúdo condenando o empresário chinês Guo Wengui.
  • Outros sites promoveram conteúdo crítico ao fundador do Falun Gong, Li Hongzhi, incluindo alegações de que o Falun Gong é um culto que fez lavagem cerebral e matou muitas pessoas. Eles também afirmaram que Li Hongzhi é uma fraude e mentiroso.
  • Outros artigos elogiaram o novo sistema eleitoral em Hong Kong, alegando que ele é amplamente apoiado pelo público, inclusive em sites de notícias em chinês e árabe (Figura 9).
blank
Figura 9: Site de notícias em árabe promove conteúdo de apoio à reforma de Hong Kong

Sobreposições e diferenças entre HaiEnergy e DRAGONBRIDGE

Atualmente, rastreamos a HaiEnergy e o DRAGONBRIDGE como campanhas separadas devido a diferenças nos TTPs das campanhas. Observamos, no entanto, que ambas as campanhas promovem narrativas semelhantes, como as que alegam a existência de laboratórios biológicos financiados pelos EUA em todo o mundo, conteúdo referente ao suposto tratamento da China aos uigures e mensagens negativas em torno de oponentes da RPC, como Guo Wengui. Ambas as campanhas também se envolvem na promoção de conteúdo apolítico semelhante ao spam. É possível que essas sobreposições possam ser resultado de tarefas compartilhadas ou sobreposições de grupos, mas não temos evidências para fazer uma avaliação.

 O DRAGONBRIDGE normalmente aproveitou milhares de contas de mídia social e fórum em várias plataformas autênticas para postar comentários, vídeos e fotos.

  • A HaiEnergy aproveita principalmente uma rede de sites inautênticos para disseminar conteúdo, juntamente com um pequeno conjunto de contas aparentemente inautênticas que promovem material e, em alguns casos, parecem criar conteúdo em determinados sites.
  • Não observamos a sobreposição de contas de mídia social, fóruns, sites ou infraestrutura. Especificamente, os ativos conhecidos do DRAGONBRIDGE não promoveram conteúdo dos sites de notícias não autênticos da HaiEnergy.

Panorama

Observamos que, apesar das capacidades e alcance global anunciados pela Haixun, há pelo menos algumas evidências que sugerem que a HaiEnergy não conseguiu gerar engajamento substancial. Mais notavelmente, apesar de um número significativamente grande de seguidores, as postagens políticas promovidas por contas inautênticas que atribuímos a esta campanha não conseguiram ganhar muita força fora da própria campanha. Essa falta de amplificação de fontes externas, não muito diferente do que normalmente observamos com o DRAGONBRIDGE, limitou a capacidade de ruptura das campanhas, formando essencialmente uma câmara de eco.

Indiscutivelmente mais interessante do que avaliar o possível impacto da campanha é o uso de infraestrutura vinculada a Haixun, uma observação que sugere tendências recentes em torno da terceirização contínua de IO para terceiros – “IO para contratar”. Notavelmente, em meados de 2021, a Meta testemunhou sobre um aumento no uso de tais empresas, que foram usadas para reduzir a barreira de entrada para alguns atores de ameaças e para ofuscar as identidades dos mais sofisticados.

Apêndice

Idiomas Observados

Tabela 1: Idiomas observados na campanha HaiEnergy

línguas

árabe

chinês

Inglês

Francês

hindi

italiano

coreano

russo

tailandês

ucraniano

vietnamita

 Sites vinculados a Haixun

Tabela 2: Sites inautênticos vinculados ao Haixun

Nome em Exibição

URL do site

24 Notícias

24usnews.com

Aisa Coreia

aisakorea. com

Todos os horários da cidade

allcitytimes. com

Anna Times

annatimes. com

Áustria Semanal

austriaweekly. com

Foco na Rússia

automóvel.trademarksdaily.com

財富台灣

caifutw.com

Encanto Diário

charmdaily. com

Checo semanal

tchecoweekly.com

Horários do Diretor

directortimes. com

Donga Diário

dongadaily. com

Diário do Egito

egyptdaily.org

Eletricidade Diária

eledaily.com

Espana Daily

espanadaily. com

Eur Times

eutimes.fr

Exatamente Notícias

exatamentenews.com

E.MP

finance.austriaweekly.com

Finanças.TZ

finance.thaibizdaily.com

Voz FT

finance.thewarsawvoice.com

TH Verdade

finance.thtruth.com

Finlândia Semanalmente

finlandweekly. com

Hani Daily

hanidaily.com

Hanna Press

hannapress. com

Saúde Últimas notícias de emprego

health.latestjobnews.in

香港日報

hkdaily.net

Toyo Times

hoteis.toyotimes.com

台灣焦點

hotintaiwan. com

Negócios apressados

hurriyetbusiness.com

Inspecionar notícias

inspectnews.com

Globo de Jacarta

jakartaglobe.org

Economia KR

kreconomy.com

KR Pop Star

krpopstar. com

Últimas notícias de emprego

últimasjobnews.in

Lehua Times

lehuatimes. com

Lori Times

loritimes. com

Encanto Diário

mercados.charmdaily.com

Eletricidade Diária

market.elecdaily.com

Hani Dal

market.hanidaily.com

Juntas Da

market.joinsdaily.com

Economia KR

market.kreconomi.com

Tempos de mecha

mechatimes. com

TV de Moscou

moscowtv.vip

Nanyang Daily

nanyangdaily. com

Baía de Redes

netsbay. com

Notícias de Nova Deli

newdelhinews.club

NZL Diário

newzealandgazette. com

NGR Diário

nigeriacom.com

Correio matinal de Nova York

nycmorning.com

Portugal Diário

portugaldaily. com

Diário do Catar

qatardaily.org

RAND Diariamente

randdaily.com

Negócios de RU

rubusiness.club

RU Industrial

ruindustrial. com

Diário russo

russiadaily.org

Sain Times

saintimes. com

Saudita semanal

saudiweekly. com

Diário de Seul

seuldaily.org

Revista Índia Startup

startupindiamagazine. com

Semanal Suíço

swissweekly. com

Zeitung Suíço

swisszeitung. com

The Korea Times

thekoreatimes.org

Diário russo

therussiadaily. com

As Tailândia

thetailands. com

A voz de Varsóvia

thewarsawvoice. com

TH Verdade

thtruth.com

Toyo Times

toyotimes. com

TMK Diário

marcas registradas.com

Notícias não vistas

unseenews. com

Huabei Daily

vn.huabeidaily.com

香港週報

semanalhongkong.com

Yarl Times

yarltimes. com

Yasu Daily

yasudaily. com

 

Fonte: Mandiant

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor