图片源于:https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content/
根据最新的研究报告,一网络至少有123个网站在中国境内经营,伪装成30个国家(包括欧洲、亚洲和拉美)的地方新闻机构,散布亲北京的虚假信息和人身攻击,这一活动被称为PAPERWALL。
PAPERWALL与HaiEnergy有相似之处,这一影响操作最初由网络安全公司Mandiant在2022年报告。然而,我们认为PAPERWALL是一项独立的活动,拥有不同的操作者及其独特的技术、战术和程序。
PAPERWALL的内容很大一部分来自Times Newswire,这是一家与HaiEnergy相关的新闻发布服务。我们发现证据表明,Times Newswire经常在大量看似无害的商业内容中隐藏亲北京的政治内容,包括人身攻击。
PAPERWALL的一个核心特征是其最激进部分的短暂性,攻击北京批评者的文章在发布后会定期从这些网站上删除。
我们将PAPERWALL活动归因于深圳海卖云享传媒有限公司(Haimai),这是一家中国的公关公司,基于该公司的官方网站与网络之间的数字基础设施关联。
尽管该活动的网站迄今享有的曝光量微不足道,但由于这些网站数量迅速增加及其适应本地语言和内容的能力,地方媒体和目标受众无意中放大这些消息的风险加大。
这些发现确认了私人公司在数字影响操作领域日益重要的角色,以及中国政府利用它们的倾向。
曝光这种类型活动的重要性
北京正在增加其在影响操作(IOs)领域的激烈活动,无论是在线还是离线。在在线领域,与本报告的发现相关,中国的IOs正在转变其战术并增加活动量。例如,在2023年11月,Meta(拥有社交媒体平台Facebook、Instagram和WhatsApp的公司)宣布删除了五个网络,他们参与了“协调的不真实行为”(即影响操作),并且针对国外受众。Meta注意到这表明中国的IO活动显著增加,并表示“相比之下,从2017年到2020年11月,我们删除了两个来自中国的CIB网络,这两个网络主要集中于亚太地区。这代表了与2020年[美国]选举周期相比,在威胁态势方面的显著变化。”
针对北京批评者进行人身攻击可能会对目标个体造成特别有害的后果,尤其是在PAPERWALL的案例中,这种攻击伴随着大量看似无害的新闻或推广内容,这为这些攻击增加了可信度并扩大了它们的传播范围。这些个体可能面临的后果,包括但不限于在其所处国家的非合法化、失去职业机会,以及甚至受到对中国政府议程表示支持的社区的言语或身体骚扰和恐吓。
本报告向进一步的证据提供了支持,显示出私人公司在中国政府管理数字IOs方面越来越重要的角色。例如,2023年10月,兰德公司的一篇博客文章总结了近年来关于这一问题的公共发现,并倡导通过制裁或其他法律及政策手段来破坏虚假信息产业。
需要注意的是,提供虚假信息服务的公司由于追逐收入,而非意识形态,通常不会对其客户的动机做出挑剔。正如最近的一些新闻调查所显示的,这些公司不仅其来源广泛,其客户基础也可谓全球。暴露这种行为类型及其战术可以帮助我们理解各国政府如何通过雇佣企业代理来寻求貌似无辜的否认。它还可以将研究焦点重新引导到后者,从而通过揭露其行为来增强威慑。
背景
在2023年10月25日,意大利报纸Il Foglio发表了一篇文章,揭露了一个小型网络的六个网站,这些网站伪装成意大利受众的新闻发布渠道,并不对应意大利的任何真实新闻机构。Il Foglio的调查确认这些网站在国家注册上没有注册为新闻机构,这是根据法律要求在国内运作的信息组织。
这些被识别的域名使用了特定的命名惯例:采用当地拼写的意大利城市名(例如“Roma”或“Milano”),后面跟着一些普通的词(如“moda”,意为时尚;“money”,或“journal”)。
这些域名上的网站结构、布局和内容都非常相似,包括插入一大部分相关新闻或甚至直接来自中国新闻组织的关于中国的内容。Il Foglio声称,该网络在中国境内运营,且可能由中国政府操纵,基于内容分析和上述六个域名解析成为腾讯计算机系统公司(Tencent Computer Systems Inc.)拥有的未公开IP地址的事实。
意大利报纸还暗示,可能存在更大规模的与上述六个网站相关的网站,而没有进一步公开更多信息。
在2023年11月13日,韩国国家网络安全中心(NCSC)也发布了一份报告,揭露了十八个伪装成地方新闻发布渠道的韩语网站。该报告将这些网站归因于一家中国公关公司Haimai,基于该公司自己宣传其客户在这些网站上发布新闻稿的机会。这些网站在技术结构上与Il Foglio曝光的六个意大利语网站非常相似,且在操作模式上相同。
我们开始对整个网络进行研究,目标是发现更多网站、它们的战术、目标和影响,并核实其活动的归因。
一个广泛的网站网络
最初的设置
根据DNS基础设施的重叠,我们将Il Foglio确认的网络扩展到最初的74个域名。大多数域名可以通过它们解析为的三个IP地址中的相对较小的一组来识别。
所托管的域名的数量相对较少:总共不到100个域名解析,而理论上每一个可能托管成千上万的域名。这可能表明这些IP仅与一个操作者连接,而不是多个客户的提供者。
我们从以下六个域名开始,这些域名是在原始新闻文章中识别的:
– italiafinanziarie[.]com
– napolimoney[.]com
– romajournal[.]org
– torinohuman[.]com
– milanomodaweekly[.]com
– veneziapost[.]com
根据RiskIQ提供的被动DNS解析数据,我们发现上述域名在过去两年中解析为以下三个IP地址之一:
– IP 属于 Amazon Web Services (AWS)
– 162.62.225[.]65 腾讯计算机系统公司
– 43.157.63[.]199 腾讯计算机系统公司
在分析中,我们能找到的其他域名自2018年4月以来至少解析过这些IP中的一个,获得了以下74个域名的列表:
我们已确认,除四个例外(在表3中突出显示外),其他所有域名都在多个国家间伪装成为新闻机构网站。此外,许多域名通常采用意大利和西班牙的命名惯例(城市名称后加上通用词)。
更广泛的网络
通过对NCSC报告中突出的网站应用相同的过程,我们能够识别出其他域名,并确认它们完全符合PAPERWALL的特征特征。
网站结构
所有识别出的网站都是基于WordPress构建的,并使用了一个非常流行的页面生成器插件——WPBakery来设置。
域名基础设施
正如Il Foglio所指出的,六个意大利语言的网站的当前托管基础设施链接至腾讯,该公司是一家中国公司。实际上,所利用的相关服务是腾讯云;我们能够确认,所有当前活动的域名都托管在一个腾讯云IP地址上。
然而,重要的是要注意,任何私人客户在满足提供商的特定要求后,都可以申请这一点。
我们在腾讯云服务文档中确认,该公司施加的要求非常低:用户的身份或公司、一个手机号码(通过发送安全代码进行验证)、以及一张信用卡或借记卡。
这有效意味着任何私人或企业客户都可以通过注册該Cloud服务,自行将其域名指向腾讯IP地址。
WordPress用户
我们通过用户枚举技术分析了在PAPERWALL网站上发布内容所用的用户名。这个技术揭示出整个网络共享有限数量的内容作者名称,具体见下表。
用户名字 | 网站数量 | 备注
Tina | 44 | 欧洲、亚洲、拉美网站
Chunqt | 28 | 仅限亚洲网站
Sophia | 26 | 欧洲网站
Peter | 12 | 俄罗斯网站
其他 | 11 | 所有十一名用户外,只有一个与napolimoney[.]com的域名相关,完全偏离了通常模式。我们找不到任何证据表明其中任何用户与现存的人对应。
不明 | 12 | 网站用户列表在写本文时不可访问;或者域名未在线(包含在已归档版本中)。
内容
所有确认的网站的主页菜单几乎相同,通常包括(翻译为目标语言):政治、经济、文化、时事和体育。实际发布的内容通常是来自目标国家的本地媒体的转载和扒取内容;新闻稿;以及偶尔来自中国国家媒体的文章或匿名的虚假信息内容。
通常可以观察到,内容同时在多个网站上交叉发布。我们更详细地分析这些内容。
截至2023年12月21日,我们能够识别出总共123个域名,几乎所有域名都在伪装成新闻机构。完整的域名列表可在附录中找到。
目标受众
根据所使用的语言,以及PAPERWALL网站中转发的本地新闻内容的来源——这是我们稍后将详细描述的一个方面——我们观察到,该网络在30个不同国家伪装成为地方新闻机构,地理分布如图所示。完整的目标国家列表及其各自对应的网站数量可在附录中找到。
为了假装成合法的地方新闻机构,PAPERWALL网站通常在名称中使用地方参考。例如,“艾菲尔”或“普罗旺斯”用于法语网站;“维京”用于挪威网站;或是城市名称,常用于意大利和西班牙的网站。
整体域名注册时间线显示出网站在一个又一个目标国家(或区域)设置的波浪状趋势。2019年7月,updatenews[.]info成为第一个注册的PAPERWALL域名。然而,由于注册数据模式和在归档的Wayback Machine上的捕获内容,我们只能确认与PAPERWALL的关联于2020年5月。
托管在这些网站上的in 2020年4月,这个域名wdpp[.]org(有可能是“World Development Press”的简称)被注册。位于腾讯IP地址的该网站,与updatenews[.]info及另外16个PAPERWALL域名直接相关,将对我们的归因至关重要。
在2020年7月,我们看到由一个时间段注册的第一个组注册。该月,注册了九个域名,每个域名都针对日本受众。其中一个,即fujiyamatimes[.]com,在页脚处链接到“Updatenews”。
此后目标是朝向韩国和日本,有自2021年2月开始转向欧洲国家,然后在2023年初转向拉美国家。注册波浪的摘要在下表中展示。
内容
内容类别的细分显示在PAPERWALL网络网站上发现的内容类别的比例
政治内容:针对攻击和虚假信息
隐藏在大量的通用内容下,PAPERWALL网络发布的一小部分内容是政治性质的。以下部分分解了内容类型和主要特征。
针对攻击
一种常见的政治主题内容包括人身攻击,通常以英语保持,无论目标受众如何。例如,题为“Yan Limeng是一个完全的谣言制造者”的文章可以在截至2023年12月的所有活跃的PAPERWALL网站上找到。该文章对李孟(Li-Meng Yan)进行直接攻击,她是一位中国病毒学家,声称COVID-19病毒起源于一家中国政府实验室。尽管她的理论在全球科学界被广泛驳斥,PAPERWALL对她的攻击是没有根据的,旨在其个人和职业声誉,并且完全是匿名的。
针对李孟的攻击还可以通过宣称的公共压力活动的方式出现。继续以李孟为例,我们可以观察到,在2023年10月,该网络试图阻止她担任宾夕法尼亚大学佩尔曼医学学院的一个声称的职位。
这一文章与在PAPERWALL网络以外的那些在其他网站上流传,无法确认是否与同一网络相关的文章是一致的,而且也在博客平台上流传。例如:“这表明PAPERWALL被用作特定个体的活动的放大器,并匿名利用多种其他在线平台最大化对他们的攻击。”
阴谋论
另一种在PAPERWALL网站网络内存在的政治主题内容是阴谋论,通常针对美国或其盟友形象的声明。例如,指控美国对东南亚国家的当地居民进行生物实验的指控。
中国国家媒体
PAPERWALL传播的最后一种政治内容常常以中国国营媒体的内容逐字转载的形式出现,例如CGTN或环球时报。同样,在这种情况下,内容通常保持不翻译为目标语言。
地方主流媒体的扒取
PAPERWALL用于伪装其网站为地方新闻机构的最明显的策略之一是从合法的在线来源定期正当复制和发布内容。
例如,从确认的PAPERWALL网站eiffelpost[.]com提取的示例:
PAPERWALL网站上发布的文章左边对应着由法国真正的报纸Le Parisien发表的原文。
每个PAPERWALL网站每天发布的大量内容。例如,我们可以列出截止至2023年11月10日,注册于2021年5月的londonclup[.]com网站上发布的5200个独立链接。
如此数量的内容表明这个过程可能是自动化的。而在被转载文章中的图像通常直接在来源网站上托管:在上面的示例中,为https://www.leparisien.fr/提供的图像。
商业内容
新闻稿
与转载的新闻内容混合,PAPERWALL网站通常发布商业性质的新闻稿。这些新闻稿通常在“新闻稿”部分明确发布,或直接在主页上发布。新闻稿内容的一个特殊之处是,它通常未翻译为目标语言,而保持原文——在大多数情况下是英语。
PAPERWALL网站的“Comunicato Stampa”(意大利语)部分的快照,显示五个特定与加密货币相关的新闻稿,所有内容都为英文。在这方面,意大利语只是用来展示正当的新闻内容。
加密货币
在发布的新闻信息中,特定与加密货币相关的内容占了相当一部分,这与Times Newswire(后续分析中将讨论)相关的内容源一致,其中加密货币主题是最常见的之一。
内容来源
为了更好地理解PAPERWALL内容的性质和来源比例,我们使用了AHREFS提供的反向链接分析平台。反向链接是网站创建链接到另一个网站时创建的链接。
我们提取了截至2023年11月30日,PAPERWALL反向链接的所有域名——因此包括发布内容的域名,按PAPERWALL域名的总后向链接数量进行排序,结果为倒序。随后,我们手动审查并分类了后向链接域名。
PAPERWALL网站反向链接的前25个域名显示:
CGTN和环球时报,分别通过近100个域名相互链接。
最后,约100个域名反向链接至Times Newswire,这被认为是虚假新闻发布的服务。
Times Newswire
PAPERWALL与Times Newswire之间的一致联系是该活动最特别的特征之一。虽然没有关于如何进行在线影响操作的明确手册,协调网站的网络通常不会有规律地从单一的公开但同样隐秘的来源获取内容。
至于以往已知的虚假信息活动,典型策略是创建与真实新闻源相似的伪造域名,而不公开最初内容发布的位置。这一特征使得分析内容分布和类型变得可行,并使源网站成为活动的核心组成部分。
截止到2023年11月30日,次级新闻发布服务在接受的PAPERWALL域名下,被反向链接至98个不同的PAPERWALL域名,绝大多数反向链接据我们评估都是这些PAPERWALL网站转发的直接内容。
Times Newswire是影响操作背景中已知的实体:最初在2023年由Mandiant(谷歌旗下的网络安全公司)报道。Mandiant观察到Times Newswire托管的内容通过为多个美国基础的新闻媒体提供的子域名分发,处于影响活动中,该公司称之为HaiEnergy。
Mandiant将HaiEnergy归因于一家名为Haixun的中国公关公司,这是在他们2022年原始报告前面提到过的;然而,在他们2023年的报告中,网络安全公司表示:“我们目前缺乏证据,无法建议Haixun与……Times Newswire之间存在潜在联系,因此目前将它们视为独立实体。”
实际上,timesnewswire[.]com与PAPERWALL网站一样,都是完全匿名的资产。
需要注意的是,与PAPERWALL网站不同的是,在timesnewswire[.]com上提供了“提交帖子”按钮,这暗示着注册用户能够直接向该网站发布内容。然而,一点击之后,按钮便会引导到登录页面,且没有显示注册模块。因此,用户的注册过程似乎未在网站内完成,而是可能通过网站的运营者进行单独控制和批准。
同样,如Mandiant对HaiEnergy活动所述,我们目前无法将Times Newswire归因于与PAPERWALL的相同运营者。然而,Times Newswire与PAPERWALL网络之间至少存在两个显著的相似性:
首先,托管IP地址也是来自腾讯,并且是与PAPERWALL域相同的AS号(132203)。自治系统(AS)号代表一种IP地址集合,属于一个或多个网络运营商,为单一管理实体或域名控制。
其次,Times Newswire也使用简单的WordPress模板作为其主要结构。此外,它使用与PAPERWALL相同的页面生成器——WPBakery。
作为至少两项独立活动——PAPERWALL和HaiEnergy中的核心组成部分,Times Newswire可以成为一个独立的资产,同时被多个影响操作所利用。
短暂性
我们能够识别出政党主题文章的例子,这些文章会定期地从Times Newswire上删除。例如,我们观察到针对与北京立场直接冲突的某些人物的负面文章随后便从该网站上删除。
这些人物之一是李洪志(Li Hongzhi),他是法轮功(Falun Gong)宗教运动的创始人及领导者,自1999年以来在中国大陆受到禁制和迫害。
虽然目前在Google搜索与李洪志相关的文章仅返回两篇,而在Wayback Machine上搜索与李洪志相关的Times Newswire内容则显示有八篇文章。同样所有这些文章都是匿名的观点文章,表述对李洪志及其领导的宗教运动极端逆向的观点。
这一行为表明,短暂播种可能是对所有此类内容的初步意图,这些内容在其首次发布后可能在某个不确定的时间内从源网站上被删除。正如先前的研究中所指出的,短暂性虚假信息的目的是为了逃避检测。随着证据在首次发布后不久从源网站上消失,调查者可能无法建立必要的关联,以检测影响操作或正确识别操作的覆盖面与深度。同时,已播种的消息可能被主流或社交媒体吸收,从而使叙述持续存在,即便原始来源已经消失。
然而,在PAPERWALL的案例中,正如我们在总结部分中更详细讨论的那样,当前没有证据表明这种情况曾经发生。
在对李洪志的攻击文章等所有政治性质的文章中,我们亦注意到它们在网站上被标记为“新闻稿”,与数千个实际的推广帖子一样。 然而,新闻稿中出现此类内容是极其罕见的。我们判断,这是另一种使政治叙述难以检测的策略,而不会削弱其潜在影响。
归因:Haimai
我们将PAPERWALL归因于一家位于中国的公关公司——深圳海卖云享传媒有限公司(Haimai)。
Haimai最初由韩国NCSC在他们对18个韩语PAPERWALL网站的调查中曝光,他们认为其负责操作这些网站。然而,基于NCSC报告所展示的证据,这一评估似乎主要基于Haimai将促销广告投放到Times Newswire的付费服务。我们并不认为此标准足以做出最终归因。实际上,在我们的研究中我们能够识别出至少三家公关和营销公司在宣传服务通过PAPERWALL网站直接发布宣传包。
其中一家名为Excelsior Partners的韩国公司在Kmong(一个服务市场,托管自由职业者或代理的专业服务广告)上宣传了出售特定语言的促销包。每个包专门列出了PAPERWALL域名作为“主要地方媒体”,在其上可以发布付费的编辑内容。
第二家韩国公司AN&ON在自己的网站上宣传具体国家的促销包,以类似于Excelsior Partners的方式进行。列出的域名也是PAPERWALL域名。
一家名为Coin Blog的中国公司,也被称为BIBK,同样出售在多个确认的PAPERWALL域名上的付费编辑内容。
然而,我们识别出了Haimai和PAPERWALL之间的数字基础设施关联。具体来说,两个最早注册的PAPERWALL域名updatenews[.]info和wdpp[.]org,托管了一个将其与Haimai的官方网站hmedium[.]com及其直接相关的第二个网站相连的Google AdSense ID。AdSense IDs是网站运营者的AdSense帐户的唯一标识符。
这因此是一个证明性的发现,证明这两个PAPERWALL域在相同的运营者之下建立完成。
通过对updatenews[.]info和wdpp[.]org的源代码进行审查,发现这两个网站均显示出Google AdSense ID ca-pub-5378976189690174的存在。
经过对这一AdSense ID进行反向搜索,我们能够在两个附加网站中找到它,它们分别是Haimai的官方网站hmedium[.]com和直接与之相关的第二个网站sun-sem[.]com。后者是Haimai的官方人员,正如韩国NCSC所报告的;后者似乎是直接与之相关的次级网站:它在其主页面上使用相同的Splash图像和文本,并提供类似的国际市场宣传服务。
Haimai(深圳市海卖云享传媒有限公司)是一家总部位于深圳的公关和营销公司,公开记录显示其似乎于2019年成立。
在其官网上,该公司宣传其在多个国家和语言中发布宣传计划的服务。
总结
PAPERWALL是一个庞大的、快速发展的匿名网站网络,伪装成地方新闻机构,向多个欧洲、亚洲和拉美的受众推送商业和政治内容,符合北京的观点。
这一活动是一个为财政和政治利益服务的影响操作示例,与北京的政治议程相一致。根据我们观察该网络网站的可测流量极少,以及缺乏可见的主流媒体报道(包括新闻聚合器,如Google News)或社交媒体的放大,我们可以评估这项活动迄今为止影响甚微。
然而,这一评估以及PAPERWALL网络中大量貌似无害的商业内容包装下的激进政治内容的存在,不应被视为这种活动是无害的。将虚假信息和定向攻击散播在数量极大内容中的小部分是虚假信息活动中的一种众所周知的操作方式,一旦这些内容的某部分被主流媒体或政治人物拾起并合法化,最终可能带来巨大的回报。
最后,私人企业在创建和管理影响操作中的角色与重要性并非新闻。 然而,自该领域研究开始以来,虚假信息产业蓬勃发展,导致全球许多国家中针对其的调查和干扰的发现(如在缅甸、巴西、阿联酋、埃及和沙特阿拉伯)。中国——之前被曝光在重大影响活动中依赖于这种代理类别——如今越来越受益于这种操作模式,保持微薄的貌似无辜的否认同时,确保传播其政治信息的广泛性。
可以合理地假设,PAPERWALL并不是中共合作共谋在影响操作领域的最后一个例子。