PAPERWAL: Sites chineses que se apresentam como meios de comunicação locais têm como alvo públicos globais com conteúdo pró-Pequim
Pequim está a aumentar as suas atividades agressivas nas operações de esferas de influência (IO), tanto online como offline.
Alberto Fittarelli - 7 FEV, 2024
PONTOS CHAVE:
Uma rede de pelo menos 123 sites operados a partir da República Popular da China, fazendo-se passar por meios de comunicação locais em 30 países da Europa, Ásia e América Latina, dissemina desinformação pró-Pequim e ataques ad hominem em volumes muito maiores de comunicados de imprensa comerciais. Chamamos esta campanha de PAPERWALL.
O PAPERWALL tem semelhanças com a HaiEnergy, uma operação de influência relatada pela primeira vez em 2022 pela empresa de segurança cibernética Mandiant. No entanto, avaliamos o PAPERWALL como uma campanha distinta, com diferentes operadores e técnicas, táticas e procedimentos únicos.
A PAPERWALL extrai partes significativas de seu conteúdo do Times Newswire, um serviço de notícias que estava anteriormente vinculado à HaiEnergy. Encontrámos provas de que o Times Newswire semeia regularmente conteúdo político pró-Pequim, incluindo ataques ad hominem, ocultando-o em grandes quantidades de conteúdo comercial aparentemente benigno.
Uma característica central do PAPERWALL, observada em toda a rede de websites, é a natureza efémera dos seus componentes mais agressivos, pelo que os artigos que atacam os críticos de Pequim são rotineiramente removidos desses websites algum tempo depois de serem publicados.
Atribuímos a campanha PAPERWALL à Shenzhen Haimaiyunxiang Media Co., Ltd., também conhecida como Haimai, uma empresa de relações públicas na China baseada em ligações de infraestrutura digital entre o site oficial da empresa e a rede.
Embora os websites da campanha tenham tido uma exposição insignificante até à data, existe um risco acrescido de amplificação inadvertida pelos meios de comunicação locais e pelos públicos-alvo, como resultado da rápida multiplicação destes websites e da sua adaptabilidade às línguas e conteúdos locais.
Estas conclusões confirmam o papel cada vez mais importante que as empresas privadas desempenham no domínio das operações de influência digital e a propensão do governo chinês para fazer uso delas.
Por que expor esse tipo de campanha é importante
Pequim está a aumentar as suas atividades agressivas nas operações de esferas de influência (IO), tanto online como offline. No domínio online, relevante para as conclusões deste relatório, as OI chinesas estão a mudar as suas tácticas e a aumentar o seu volume de actividade. Por exemplo, em Novembro de 2023, a Meta – proprietária das plataformas de redes sociais Facebook, Instagram e WhatsApp – anunciou a remoção de cinco redes envolvidas em “comportamento inautêntico coordenado” (ou seja, operações de influência) e visando públicos estrangeiros. Meta observou isso como um aumento acentuado na atividade de IO da China, afirmando que “para comparação, entre 2017 e novembro de 2020, desativamos duas redes CIB da China, e ambas focadas principalmente na região Ásia-Pacífico. Isto representa a mudança mais notável no cenário de ameaças, quando comparado com o ciclo eleitoral de 2020 [nos EUA].”
Semear ataques ad hominem contra os críticos de Pequim pode resultar em consequências particularmente prejudiciais para os indivíduos visados, especialmente quando, como no caso da PAPERWALL, isso acontece no âmbito de quantidades muito maiores de notícias ostensivamente benignas ou de conteúdo promocional que conferem credibilidade e expandem o alcance dos ataques. . As consequências para estes indivíduos podem incluir, mas não estão limitadas a, a sua deslegitimação no país que os acolhe; a perda de oportunidades profissionais; e até mesmo assédio e intimidação verbal ou física por parte de comunidades simpáticas à agenda do governo chinês.
Este relatório acrescenta ainda mais provas, ao que foi relatado por outros investigadores, do papel cada vez mais importante desempenhado pelas empresas privadas na gestão de IOs digitais em nome do governo chinês. Por exemplo, uma publicação no blogue de outubro de 2023 da empresa RAND resumiu as recentes descobertas públicas sobre esta questão e defendeu a disrupção da indústria da desinformação por aluguer através da utilização de sanções ou de outros meios legais e políticos disponíveis.
Deve-se notar que as empresas de desinformação por aluguer, movidas pelas receitas e não pela ideologia, tendem a não ter discernimento sobre as motivações dos seus clientes. Como demonstraram as principais investigações recentes da imprensa, tanto a sua origem como a sua base de clientes podem ser verdadeiramente globais. Expor este tipo de actor, e as suas tácticas, pode ajudar a compreender como os governos procuram uma negação plausível através da contratação de representantes corporativos. Pode também reorientar a investigação para estes últimos, aumentando a dissuasão ao expor as suas ações.
BACKGROUND
Em 25 de outubro de 2023, o jornal italiano Il Foglio publicou um artigo, resumido aqui em inglês, que expôs uma pequena rede de seis sites que se apresentavam como meios de comunicação para o público italiano e que não correspondiam a nenhuma redação real na Itália. A investigação do Il Foglio confirmou que os websites não estavam registados como meios de comunicação no registo nacional, conforme exigido por lei para qualquer organização de informação que opere no país.
Os domínios identificados usaram uma convenção de nomenclatura específica: o nome de uma cidade italiana na grafia local (ou seja, “Roma” ou “Milão”), seguido de termos mundanos (por exemplo, “moda”, que significa moda; “dinheiro”; ou “diário”). Os websites hospedados nesses domínios eram todos semelhantes em estrutura, layout e conteúdo, com artigos genéricos sobre política, crime e entretenimento intercalados com uma quantidade relativamente elevada de notícias relacionadas à China, ou mesmo derivadas diretamente de organizações de notícias chinesas.
Il Foglio alegou que a rede estava sendo operada na China, e possivelmente pelo governo chinês, com base na análise de conteúdo e nos seis domínios resolvidos para um endereço IP não especificado de propriedade da Tencent Computer Systems Inc., uma grande empresa chinesa. O jornal italiano insinuou ainda a possível existência de um conjunto mais alargado de sites ligados aos seis apresentados, sem divulgar publicamente mais informações.
Em 13 de novembro de 2023, o Centro Nacional de Segurança Cibernética da Coreia do Sul (NCSC), uma agência governamental, também publicou um relatório expondo dezoito sites em língua coreana que se faziam passar por meios de comunicação locais. O relatório atribuiu estes sites a uma empresa de relações públicas chinesa chamada Haimai, com base no facto de a própria empresa anunciar a oportunidade para os seus clientes publicarem comunicados de imprensa nesses mesmos sites. Esses sites apresentavam fortes semelhanças com os seis sites de língua italiana expostos pelo Il Foglio, desde a estrutura técnica até o modus operandi utilizado.
Decidimos pesquisar toda a rede, com o objetivo de descobrir sites adicionais, suas táticas, direcionamento e impacto; e de verificar a atribuição da actividade aos seus operadores.
Uma extensa rede de sites
O conjunto inicial
Com base nas sobreposições de infraestrutura DNS, conseguimos expandir a rede identificada pelo Il Foglio para um total inicial de 74 domínios. A maioria dos domínios pode ser identificada por meio de um conjunto relativamente pequeno de três endereços IP para os quais eles foram resolvidos.
O número de domínios hospedados nesses endereços IP é relativamente baixo: eles apresentavam um total de menos de 100 resoluções de domínio, embora, teoricamente, cada um pudesse hospedar milhares de domínios. Isto pode indicar que os IPs estão vinculados apenas a uma operadora, e não a vários clientes do provedor.
Partimos dos seguintes seis domínios, identificados na notícia original:
Com base nos dados de resolução de DNS passivo disponibilizados pela RiskIQ, descobrimos que os domínios acima foram resolvidos, durante os últimos dois anos, para pelo menos um dos três endereços IP a seguir:
Encontramos outros domínios que apontavam para pelo menos um desses três endereços IP desde abril de 2018, obtendo a seguinte lista de 74 domínios:
Verificamos que — com apenas quatro exceções, destacadas na tabela 3 — os domínios hospedavam sites que se apresentavam como veículos de notícias em diversos países. As quatro exceções destacadas foram resolvidas para um ou mais dos três endereços IP examinados antes ou depois do restante da rede estar presente neles, tornando questionável sua afiliação ao PAPERWALL. Além disso, muitos deles pareciam utilizar a convenção de nomenclatura identificada para os domínios de língua italiana (nome da cidade, seguido de um termo genérico).
A rede mais ampla
Ao replicar o mesmo processo nos sites destacados no relatório do NCSC, conseguimos identificar domínios adicionais e confirmá-los como correspondendo totalmente aos recursos de assinatura do PAPERWALL.
Esses incluem:
A estrutura dos sites
Todos eles foram construídos em WordPress e utilizaram um plugin construtor de páginas (altamente popular) – WPBakery – para sua configuração.
A infraestrutura dos domínios
Conforme descoberto por Il Foglio, a atual infraestrutura de hospedagem para os seis domínios de língua italiana está vinculada à Tencent, uma empresa com sede na China. Na verdade, o serviço relevante utilizado é o Tencent Cloud; e pudemos verificar se todos os domínios atualmente ativos estavam hospedados em um endereço IP da Tencent Cloud.
É importante, no entanto, notar que isto é algo que qualquer cliente privado pode solicitar, desde que sejam satisfeitos determinados requisitos estabelecidos pelo fornecedor de alojamento.
Confirmamos na documentação do serviço Tencent Cloud que os requisitos impostos pela empresa são mínimos: a identidade da pessoa física ou jurídica assinante do serviço, um número de celular (a ser verificado através de um código de segurança enviado via SMS) e um crédito ou cartão de débito.
Isso significa efetivamente que qualquer assinante privado ou corporativo que opere a rede de sites poderia ter apontado seus domínios para um endereço IP da Tencent, assinando seu serviço em nuvem.
Os usuários do WordPress
Analisamos os nomes de usuário utilizados para postar conteúdo nos sites PAPERWALL por meio de uma técnica chamada enumeração de usuários. Essa técnica revelou que toda a rede compartilhava um pequeno número de nomes de autores de conteúdo, visíveis na tabela abaixo.
O conteúdo
Todos os websites identificados tinham menus de página inicial quase idênticos, normalmente incluindo (traduzidos no idioma de destino): Política, Economia, Cultura, Atualidades e Desporto. O conteúdo real postado era uma mistura de conteúdo copiado e republicado da mídia local no país alvo; comunicados de imprensa; e artigos ocasionais da mídia estatal chinesa ou conteúdo anônimo de desinformação. O conteúdo normalmente pode ser observado como sendo postado simultaneamente em vários sites ao mesmo tempo. Analisamos o conteúdo com mais detalhes posteriormente neste relatório.
Em 21 de dezembro de 2023, conseguimos identificar um total de 123 domínios, quase todos hospedando sites que se passam por meios de comunicação. Uma lista completa desses domínios está disponível no Apêndice.
Público alvo
Com base na linguagem utilizada, bem como na origem do conteúdo noticioso local republicado pelos sites PAPERWALL – um aspecto que também descreveremos com mais detalhes posteriormente neste relatório – observamos que a rede imitava veículos de notícias locais em 30 países diferentes. , conforme mostrado no mapa abaixo. Uma lista completa dos países-alvo, com o número de websites que abordam cada um deles, está disponível no Apêndice.
Para aparecerem como meios de comunicação locais legítimos, os sites PAPERWALL normalmente utilizavam referências locais como parte de seus nomes. Por exemplo, “Eiffel” ou “Provence” para sites em francês; “Viking” para o norueguês; ou nomes de cidades, comumente usados em sites italianos e espanhóis.
LEIA MAIS NO ORIGINAL >
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content/