El Departamento de Justicia de Estados Unidos (DoJ) dijo que confiscó dos dominios de Internet y buscó cerca de 1.000 cuentas de redes sociales que actores de amenazas rusos supuestamente usaron para difundir de forma encubierta desinformación a favor del Kremlin en el país y en el extranjero a gran escala.
«La granja de bots de redes sociales utilizó elementos de IA para crear perfiles ficticios en redes sociales, que a menudo pretendían pertenecer a personas en los Estados Unidos, que los operadores luego usaron para promover mensajes en apoyo de los objetivos del gobierno ruso», dijo el Departamento de Justicia. dicho.
Se dice que la red de bots, que comprende 968 cuentas en X, es parte de un elaborado plan ideado por un empleado del medio de comunicación estatal ruso RT (anteriormente Russia Today), patrocinado por el Kremlin y ayudado por un oficial del Servicio Federal de Seguridad de Rusia (FSB), que creó y dirigió una organización de inteligencia privada anónima.
Los esfuerzos de desarrollo de la granja de bots comenzaron en abril de 2022, cuando los individuos adquirieron infraestructura en línea mientras anonimizaban sus identidades y ubicaciones. El objetivo de la organización, según el Departamento de Justicia, era promover los intereses rusos difundiendo desinformación a través de personajes ficticios en línea que representaban a varias nacionalidades.
Las cuentas falsas de redes sociales se registraron utilizando servidores de correo electrónico privados que dependían de dos dominios: mlrtr[.]com y otanmail[.]com, que se compraron al registrador de dominios Namecheap. Desde entonces, X ha suspendido las cuentas de bots por violar sus términos de servicio.
La operación de información, que tuvo como objetivo a Estados Unidos, Polonia, Alemania, los Países Bajos, España, Ucrania e Israel, se llevó a cabo utilizando un paquete de software impulsado por inteligencia artificial llamado Meliorator que facilitó la creación y operación «en masa» de dicha granja de bots de redes sociales.
«Utilizando esta herramienta, los afiliados de RT difundieron desinformación hacia y sobre varios países, incluidos Estados Unidos, Polonia, Alemania, los Países Bajos, España, Ucrania e Israel», dijeron las agencias de seguridad de Canadá, los Países Bajos y los Estados Unidos.
Meliorator incluye un panel de administración llamado Brigadir y una herramienta de backend llamada Taras, que se utiliza para controlar las cuentas que parecen auténticas, cuyas fotos de perfil e información biográfica se generaron utilizando un programa de código abierto llamado Faker.
Cada una de estas cuentas tenía una identidad o «alma» distinta basada en uno de los tres arquetipos de bots: aquellos que propagan ideologías políticas favorables al gobierno ruso, como mensajes ya compartidos por otros bots, y perpetúan la desinformación compartida tanto por cuentas bot como por cuentas que no son bots.
Si bien el paquete de software solo fue identificado en X, un análisis más detallado reveló las intenciones de los actores de la amenaza de ampliar su funcionalidad para cubrir otras plataformas de redes sociales.
Además, el sistema eludió las medidas de seguridad de X para verificar la autenticidad de los usuarios copiando automáticamente códigos de acceso de un solo uso enviados a las direcciones de correo electrónico registradas y asignando direcciones IP proxy a personajes generados por IA en función de su ubicación supuesta.
«Las cuentas de bots intentan evitar claramente las prohibiciones por infringir las condiciones de servicio y evitar que se las considere bots al mimetizarse con el entorno más amplio de las redes sociales», afirmaron las agencias. «Al igual que las cuentas auténticas, estos bots siguen a cuentas genuinas que reflejan sus inclinaciones e intereses políticos enumerados en su biografía».
«La agricultura es un pasatiempo muy querido para millones de rusos», dijo RT. citado como le dijo a Bloomberg en respuesta a las acusaciones, sin refutarlas directamente.
Se trata de la primera vez que Estados Unidos señala públicamente a un gobierno extranjero por utilizar inteligencia artificial en una operación de influencia extranjera. No se han hecho públicos cargos penales en el caso, pero la investigación sobre la actividad sigue en curso.
El doble sigue vivo
En los últimos meses, Google, Meta y OpenAI han advertido que las operaciones de desinformación rusas, incluidas aquellas orquestadas por una red denominada Doppelganger, han aprovechado repetidamente sus plataformas para difundir propaganda prorrusa.
«La campaña sigue activa, así como la infraestructura de red y servidores responsables de la distribución de contenidos», Qurium y Laboratorio de desinformación de la UE dijo en un nuevo informe publicado el jueves.
«Sorprendentemente, Doppelganger no opera desde un centro de datos oculto en una fortaleza de Vladivostok ni desde una remota cueva militar de murciélagos, sino desde proveedores rusos de reciente creación que operan dentro de los centros de datos más grandes de Europa. Doppelganger opera en estrecha asociación con actividades cibercriminales y redes publicitarias afiliadas».
En el corazón de la operación se encuentra una red de proveedores de alojamiento a prueba de balas que abarca a Aeza, Evil Empire, GIR y SEGURIDAD TNSque también albergan dominios de comando y control para diferentes familias de malware como Stealc, Amadey, Agent Tesla, Glupteba, Raccoon Stealer, RisePro, RedLine Stealer, RevengeRAT, Lumma, Meduza y Mystic.
Además, NewsGuard, que proporciona una serie de herramientas para contrarrestar la desinformación, encontrado recientemente que los populares chatbots de inteligencia artificial son propensos a repetir «narrativas inventadas de sitios afiliados al Estado que se hacen pasar por medios de comunicación locales en un tercio de sus respuestas».
Operaciones de influencia desde Irán y China
También se produce cuando la Oficina del Director de Inteligencia Nacional de Estados Unidos (ODNI) dicho que Irán «se está volviendo cada vez más agresivo en sus esfuerzos de influencia extranjera, buscando avivar la discordia y socavar la confianza en nuestras instituciones democráticas».
La agencia señaló además que los actores iraníes continúan perfeccionando sus actividades cibernéticas y de influencia, utilizando plataformas de redes sociales y emitiendo amenazas, y que están amplificando las protestas a favor de Gaza en Estados Unidos haciéndose pasar por activistas en línea.
Google, por su parte, dijo que bloqueó en el primer trimestre de 2024 más de 10.000 instancias de actividad de Dragon Bridge (también conocido como Spamouflage Dragon), que es el nombre que se le da a una red de influencia spam pero persistente vinculada a China, en YouTube y Blogger que promovía narrativas que retrataban a Estados Unidos de forma negativa, así como contenido relacionado con las elecciones en Taiwán y la guerra entre Israel y Hamás dirigido a hablantes de chino.
En comparación, el gigante tecnológico interrumpió no menos de 50.000 casos de este tipo en 2022 y 65.000 más en 2023. En total, ha evitado más de 175.000 casos hasta la fecha durante la vida útil de la red.
«A pesar de su continua y profusa producción de contenido y la escala de sus operaciones, DRAGONBRIDGE prácticamente no logra ninguna participación orgánica de los espectadores reales», dijo el investigador de Threat Analysis Group (TAG) Zak Butler. dicho«En los casos en que el contenido de DRAGONBRIDGE generó interacción, esta fue casi en su totalidad inauténtica, proveniente de otras cuentas de DRAGONBRIDGE y no de usuarios auténticos».