Parameter

Merkmal(e)

Funktionale Autonomie

Niedrig: Alle Gruppen werden streng vom Ministerium für Staatssicherheit kontrolliert. Das für technische Aufklärung zuständige 14. Büro ist das primär benannte Kontrollorgan.

Während die Operationen im Allgemeinen vom (oder über das) 14. Büro zugewiesen werden, haben einige Berichterstattungsteams ein wenig Spielraum, um neue Taktiken auszuprobieren, um festgelegte Ziele zu verletzen. Die funktionale Autonomie hängt rein vom Erfolg ab, den die APT-Gruppe in der Vergangenheit erzielt hat.  

Einsatz von KI

China verwendet seit einiger Zeit KI für die inländische Überwachung, und eine natürliche Folge davon war das Bedürfnis nach automatisierter Datenverarbeitung, um interessante Muster zu identifizieren. China hat seine inländischen Überwachungsdaten im letzten Jahrzehnt mit „naturisierten“ LLMs verknüpft und konnte in diesem Prozess enorme Fortschritte im Bereich der KI-gesteuerten Datenverarbeitung erzielen.

Seit der Pandemie hat China die Aufmerksamkeit auf den Einsatz von KI gelenkt, um erste Untersuchungen von Zielnetzwerken durchzuführen. Dazu gehörten automatisierte Pings, das Sammeln gestohlener Anmeldeinformationen wichtiger Mitarbeiter von Zielunternehmen, Entwicklung und Manipulation von Malware und Phishing. Seit 2023 sind Angriffe, Datenexfiltration und Datenverarbeitung vollständig durch KI automatisiert. 

Teams innerhalb des MSS experimentieren jetzt mit dem Einsatz von KI, um gefälschte Datenpakete zu injizieren, um Datensätze innerhalb kompromittierter Umgebungen zu vergiften. 

Hierarchie

APT 1, 41 und 10 werden als relativ senior angesehen und für anspruchsvolle Projekte eingesetzt, während andere APT-Gruppen und Untergruppen eingesetzt werden, um im Falle strategischer Ziele eine Öffnung zu schaffen. APT 41 wird vom MSS auch verwendet, um Angriffsketten zu erstellen, die stromaufwärts und stromabwärts verlaufen.

Untergruppen, die in der Lage sind, Projekte eigenständig zu verwalten, können für bestimmte Projekte aufgewertet werden. Senioren wie APT 41, 1 und 10 sind auch damit beauftragt, Untergruppen zu betreuen.

Reisen

Mitarbeitern dieser Gruppen ist es nicht gestattet, außer unter chinesischer diplomatischer Deckung (was auch selten vorkommt), in andere Länder zu reisen. APT 1 und 10 sind für ihre aktiven Wissens- und Informationsaustauschprogramme mit ihren nordkoreanischen Gegenstücken bekannt. Wir haben Gründe zu der Annahme, dass der nordkoreanische Bedrohungsakteur Lazarus (APT 38) eine kleine Präsenz innerhalb Chinas unterhält.

Die Präsenz kann auf ein hohes Maß an Zusammenarbeit und gemeinsamer Zielsetzung hinweisen, einschließlich der Zahlung von Lizenzgebühren oder Äquivalenten durch Lazarus an eine unbekannte chinesische Einheit. 

Ziele

Grob in zwei Kategorien unterteilt, nämlich kommerziell und strategisch. Erstere hat mit Umsatzgenerierung zu tun, und letztere bezieht sich auf das Sammeln von Informationen und gewerblichem Eigentum. Beide sind wichtig, und Gruppen wie APT 41 bewegen sich in beiden Welten. Es gab mindestens zwei Fälle, in denen APT 41 gestohlene Daten intern und extern monetarisiert hat. 

Integration mit den außenpolitischen Zielen Chinas

Komplett. Dies ist ein Bereich, in dem es keine Zweideutigkeiten gibt. Aus einer Klassifizierungsperspektive werden Nationen und Ziele gemäß den von der chinesischen Regierung herausgegebenen Empfehlungen eingestuft. Es gibt auch einen aktiven Feedback-Loop, bei dem die von Zielen gestohlenen Informationen genutzt werden, um außenpolitische Eingriffe und Methoden zu gestalten. 

Handler

Jede Gruppe, die dem Büro 14 Bericht erstattet, hat auch einen vom MSS ernannten Handler oder Manager, der in erster Linie für die Überwachung der Operationen, die Durchführung von Briefings und die Berichterstattung über Projekte an die Zentrale Politische und Rechtskommission (CPLC) der Kommunistischen Partei Chinas verantwortlich ist. Es gibt auch eine Berichterstattungslinie, die lokale MSS-Einheiten umfasst, aber diese Beziehung ist derzeit nicht sehr klar. Die Handler sind für die operativen Aspekte verantwortlich und werden persönlich dafür verantwortlich gehalten, dass die Bedrohungsakteure ihre Ziele erreichen.

Interessanterweise hat die CPLC auch einen Stellvertreter oder einen Schatten-Supervisor in der Kette eingebettet, um die Aktivitäten der Gruppe im Auge zu behalten und die vom Handler mitgeteilten Informationen zu validieren.

Was machen diese Gruppen mit gestohlenen Daten?

Ein Teil dieser Frage wurde bereits beantwortet. Hier ist der andere Teil:

·         Alle Daten werden zuerst mit KI-Algorithmen verarbeitet und analysiert, hauptsächlich mit maschinellem Lernen und Deep Learning. Diese werden verwendet, um große Datensätze zu verarbeiten, indem aus den Daten gelernt wird. Diese Algorithmen, ob erstellt oder entwickelt, sind in der Lage, unstrukturierte Daten wie Texte und Bilder sowie strukturierte Daten wie Zahlen und Statistiken zu verarbeiten. Die verfeinerten Daten mit Betonung werden für die Aufmerksamkeit eines menschlichen Analysten markiert.

·         Daten von finanzieller Bedeutung oder mit industriellem geistigen Eigentum werden für kommerzielle Maßnahmen oder Verhandlungen mit dem Opfer markiert.

·         Alle Daten von strategischer Bedeutung werden klassifiziert, gespeichert und für die Aufmerksamkeit eines leitenden Analysten gekennzeichnet.

·         Daten, die zu weiteren Verletzungen führen können oder um den Zugang zu einer Zielumgebung aufrechtzuerhalten, werden an das spezifische Team innerhalb des spezifischen Bedrohungsakteurs weitergegeben, das für dieses Konto zuständig ist.

·         Die verbleibenden Daten werden in einen gemeinsamen Pool eingespeist, der allen Gruppen zur Schulung zugänglich ist.

·         Der durchschnittliche Datenzyklus dauert etwa 28 Tage.