La industria de semiconductores taiwaneses se ha convertido en el objetivo de campañas de phishing de aguijada realizadas por tres actores de amenaza patrocinados por el estado chino.
«Los objetivos de estas campañas variaron desde organizaciones involucradas en la fabricación, diseño y pruebas de semiconductores y circuitos integrados, equipos y servicios más amplios entidades de dependencia de suministro adentro de este sector, así como analistas de inversiones financieras especializadas en el mercado de semiconductores taiwaneses», dijo ProGoint en un documentación publicado el miércoles.
La actividad, según la empresa de seguridad empresarial, tuvo ocasión entre marzo y junio de 2025. Se les ha atribuido a tres clústeres alineados por China que rastrea como unk_fistbump, unk_droppitch y unk_sparkycarp.
Se dice que UNK_FISTBUMP ha dirigido organizaciones de diseño de semiconductores, envases, fabricación y dependencia de suministro en campañas de phishing con temas de empleo que dieron como resultado la entrega de huelga de cobalto o un trasero personalizado basado en Voldemort que se ha utilizado anteriormente en ataques dirigidos a más de 70 organizaciones a nivel mundial.
La dependencia de ataque involucra al actor de amenazas que se hace advenir por un estudiante diplomado en correos electrónicos enviados al personal de reemplazo y medios humanos, buscando oportunidades de trabajo en la empresa objetivo.
Los mensajes, probablemente enviados desde cuentas comprometidas, incluyen un currículum supuestamente (un archivo LNK disfrazado de PDF) que, cuando se abre, desencadena una secuencia de varias etapas que conduce al despliegue de Cobalt Strike o Voldemort. Simultáneamente, se muestra un documento de señuelo a la víctima para evitar proponer sospechas.
El uso de Voldemort ha sido atribuido por Proofpoint a un actor de amenaza llamado TA415, que se superpone con el prolífico clase de estado-estado chino conocido como APT41 y tifón de latón. Dicho esto, la actividad de Voldemort vinculada a unk_fistbump se evalúa que es distinta de TA415 conveniente a las diferencias en el cargador utilizado para eliminar el trauma de cobalto y la dependencia de una dirección IP codificada para el comando y el control.
Unk_droppitch, por otro flanco, se ha observado a individuos sorprendentes en múltiples firmas de inversión importantes que se centran en el examen de inversiones, particularmente adentro de la industria de semiconductores taiwaneses. Los correos electrónicos de phishing, enviados en abril y mayo de 2025, incrustan un enlace a un documento PDF que, al destapar, descarga un archivo zip que contiene una carga útil DLL maliciosa que se aguijada con la carga pegado de DLL.
El Rogue DLL es un HealthKick con nombre en código de puerta trasera que es capaz de ejecutar comandos, capturar los resultados de esas ejecuciones y exfiltrarlos a un servidor C2. En otro ataque detectado a fines de mayo de 2025, se ha utilizado el mismo enfoque de carga pegado de DLL para difundir un shell inverso TCP que establece el contacto con un servidor VPS controlado por el actor 45.141.139 (.) 222 sobre el puerto TCP 465.
El Shell inverso sirve como una vía para que los atacantes realicen pasos de examen y descubrimiento, y si se considera de interés, deje caer el asistente de diligencia de punto final de Intel (EMA) para el control remoto a través del dominio C2 «EMA.MOCTW (.) Información».
«Esta orientación Unk_Droppitch es un ejemplo de prioridades de casa recoleta de inteligencia que abarcan áreas menos obvias del ecosistema de semiconductores más allá de las entidades de diseño y fabricación», dijo Proofpoint.
Un examen posterior de la infraestructura del actor de amenaza ha revelado que dos de los servidores se han configurado como servidores VPN suave, una opción VPN de código extenso ampliamente utilizada por los grupos de piratería chinos. Una conexión adicional con China proviene de la reutilización de un certificado TLS para uno de los servidores C2. Este certificado ha sido empatado en el pasado en relación con familias de malware como MoonBounce y Sidewalk (todavía conocido como Scramblecross).
Dicho esto, actualmente no se sabe si la reutilización proviene de una clan de malware personalizada compartida en múltiples actores de amenaza alineados por China, como la borde o conveniente al aprovisionamiento de infraestructura compartida en estos grupos.
El tercer clúster, Unk_sparkyCarp, se caracteriza por ataques de phishing de credenciales que destacan a una compañía de semiconductores taiwaneses sin nombre que utiliza un kit adversario en el medio (AITM) a medida (AITM). La campaña fue paisaje en marzo de 2025.
«Los correos electrónicos de phishing se disfrazaron de advertencias de seguridad de inicio de sesión de la cuenta y contenían un enlace a la credencial controlada por el actor, el dominio de phishing Accshieldportal (.) Com, así como una URL de baliza de seguimiento para Acesportal (.) Com», dijo Proofpoint, y agregó que el actor amenazado había dirigido previamente a la compañía en noviembre de 2024.
La compañía dijo que todavía observó unk_coltcentury, que todavía se fogata TAG-100 y Storm-2077, enviando correos electrónicos benignos al personal legal en una ordenamiento de semiconductores taiwaneses en un esfuerzo por difundir confianza y, en última instancia, entregar un troyano de camino remoto conocido como Spark Rat.
«Esta actividad probablemente refleja la prioridad estratégica de China para conquistar la autosuficiencia semiconductora y disminuir la dependencia de las cadenas y tecnologías de suministro internacional, particularmente a la luz de los controles de exportación estadounidense y taiwanés», dijo la compañía.
«Estos actores de amenazas emergentes continúan exhibiendo patrones de orientación de larga data consistentes con los intereses estatales chinos, así como las TTP y las capacidades personalizadas históricamente asociadas con las operaciones cibernéticas alineadas por China».
Salt Typhoon va tras la Vigilancia Franquista de los Estados Unidos
El expansión se produce cuando NBC News informó que los piratas informáticos patrocinados por el estado chinos rastreados como Typhoon de Salt (todavía conocido como Earth Stries, Ghost Emperor y UNC2286) irrumpieron en al menos la Vigilancia Franquista de un estado estadounidense, lo que indica una expansión de su orientación. Se dice que la violación duró no menos de nueve meses entre marzo y diciembre de 2024.
La violación «probablemente proporcionó a Beijing datos que podrían proporcionar el pirateo de las unidades de la Vigilancia Franquista del Ejército de otros estados, y posiblemente muchos de sus socios de ciberseguridad a nivel estatal», dijo un documentación del Unidad de Defensa de los Estados Unidos (DOD).
«Salt Typhoon comprometió ampliamente la red de la Vigilancia Franquista del Ejército del Estado de EE. UU. Y, entre otras cosas, recopiló su configuración de red y su tráfico de datos con las redes de sus contrapartes en cualquier otro estado de EE. UU. Y al menos cuatro territorios de los Estados Unidos».
El actor de amenazas todavía exfiló archivos de configuración asociados con otras entidades de infraestructura del gobierno de EE. UU. Y crítica, incluidas dos agencias gubernamentales estatales, entre enero y marzo de 2024. Ese mismo año, Salt Typhoon aprovechó su camino a la red de la Vigilancia Franquista del Ejército de EE. UU. Para cosechar credenciales de administradores, diagramas de redes de red, un carta de ubicaciones geográficas en todo el estado y PII de sus miembros de servicio.
Estos archivos de configuración de red podrían permitir una veterano explotación de redes informáticas de otras redes, incluida la captura de datos, la manipulación de la cuenta del administrador y el movimiento pegado entre redes, según el documentación.
Se ha antagónico que el camino auténtico está facilitado por la explotación de vulnerabilidades de seguridad conocidas en Cisco (CVE-2018-0171, CVE-2023-20198 y CVE-2023-20273) y Palo Stop Networks (CVE-2024-3400).
«El camino de tifones de sal a las redes de la Vigilancia Franquista del Ejército en estos estados podría incluir información sobre la postura estatal de defensa cibernética, así como la información de identificación personal (PII) y las ubicaciones de trabajo del personal de seguridad cibernética estatal, datos que podrían estilarse para informar futuros esfuerzos de escolta cibernético».
Ensar Seker, CISO de Sócradar, dijo en un comunicado que el ataque es otro recordatorio de que los actores de amenaza persistentes avanzados persiguen a las agencias federales y los componentes a nivel estatal, que pueden tener una postura de seguridad más variada.
«La revelación de que Salt Typhoon mantuvo el camino a una red de la Vigilancia Franquista de EE. UU. Durante casi un año es una subida formal en el dominio cibernético», dijo Seker. «Esto no es solo una intrusión oportunista. Refleja un espionaje deliberado a grande plazo diseñado para extraer silenciosamente la inteligencia estratégica».
«La presencia sostenida del clase sugiere que estaban reuniendo más que solo archivos, probablemente estaban mapeando infraestructura, monitorear los flujos de comunicación e identificar puntos débiles explotables para el uso futuro. Lo que es profundamente preocupante es que esta actividad no se detectó durante tanto tiempo en un entorno marcial. Plantea preguntas sobre los gaps de visibilidad, las políticas de segmentación y las capacidades de detección en federales híbridas en las redes de defensa marcial.».
