Industrija poluprovodnika na Tajvanu postala je meta spear-phishing kampanja koje sprovode tri kineske državne hakerske grupe.
„Mete ovih kampanja bile su organizacije uključene u proizvodnju, dizajn i testiranje poluprovodnika i integrisanih kola, širi lanac snabdijevanja u ovoj industriji, kao i finansijski analitičari koji se specijalizuju za tajvansko tržište poluprovodnika“, navodi se u izvještaju kompanije Proofpoint objavljenom u srijedu.
Prema ovoj kompaniji za sajber sigurnost, aktivnosti su se odvijale između marta i juna 2025. godine, a napade su izvršile tri kineske grupe koje Proofpoint prati pod oznakama UNK_FistBump, UNK_DropPitch i UNK_SparkyCarp.
UNK_FistBump je ciljao organizacije u oblasti dizajna, pakovanja, proizvodnje i lanca snabdijevanja poluprovodnicima, koristeći phishing kampanje s temom zapošljavanja koje su rezultuje isporukom Cobalt Strike-a ili prilagođenog backdoor alata u C jeziku, nazvanog Voldemort, koji je ranije korišten u napadima na više od 70 organizacija širom svijeta.
Lanac napada uključuje napadača koji se predstavlja kao diplomirani student u mejlovima poslanim odjeljenjima za zapošljavanje i ljudske resurse, tražeći posao u ciljanoj firmi. Poruke, vjerovatno poslane s kompromitovanih naloga, sadrže navodnu biografiju (LNK fajl maskiran kao PDF), koji kada se otvori, pokreće višestepeni napad koji vodi do izvršenja Cobalt Strike-a ili Voldemort-a, dok se istovremeno prikazuje mamac dokument kako bi se žrtva zavarala.
Proofpoint pripisuje korištenje Voldemort alata grupi TA415, povezanoj sa poznatom kineskom grupom APT41 i Brass Typhoon. Ipak, aktivnosti UNK_FistBump se smatraju različitim od TA415, zbog razlika u loader alatima i korištenju hard-kodirane IP adrese za komandu i kontrolu.
UNK_DropPitch je ciljao pojedince u velikim investicionim firmama fokusiranim na analizu ulaganja u tajvansku industriju poluprovodnika. Phishing mejlovi poslati u aprilu i maju 2025. sadrže link ka PDF dokumentu, koji pri otvaranju preuzima ZIP fajl sa zlonamjernim DLL-om koji se pokreće korištenjem tehnike DLL side-loading.
Maliciozni DLL je backdoor alat nazvan HealthKick, sposoban da izvršava komande, bilježi rezultate i šalje ih ka C2 serveru. U napadu iz maja 2025. korištena je ista tehnika za uspostavljanje TCP reverse shell veze sa serverom pod kontrolom napadača (IP: 45.141.139[.]222, port 465).
Putem ovog reverse shell-a napadači su vršili izviđanje i, ukoliko bi pronašli vrijedne mete, isporučivali Intel Endpoint Management Assistant (EMA) za daljinsku kontrolu putem domene “ema.moctw[.]info”.
Proofpoint navodi da aktivnosti UNK_DropPitch pokazuju „prikupljanje obavještajnih podataka iz manje očiglednih segmenata poluprovodničkog ekosistema, ne samo iz dizajna i proizvodnje“.
Analizom infrastrukture napadača otkriveno je da su dva servera konfigurisana kao SoftEther VPN serveri, popularno rješenje među kineskim hakerskim grupama. Još jedna veza sa Kinom je upotreba TLS sertifikata ranije povezanog sa malverima MoonBounce i SideWalk (ScrambleCross).
Ipak, nije jasno da li se radi o zajedničkoj malverskoj porodici ili o dijeljenju infrastrukture između više grupa.
Treća grupa, UNK_SparkyCarp, koristi phishing kampanju za krađu vjerodajnica, ciljajući neimenovanu tajvansku kompaniju iz sektora poluprovodnika pomoću prilagođenog adversary-in-the-middle (AitM) alata. Kampanja je zabilježena u martu 2025.
Phishing mejlovi su se predstavljali kao sigurnosna upozorenja za prijavu na nalog, s linkom ka domeni za krađu vjerodajnica accshieldportal[.]com, i beacon URL-om za acesportal[.]com. Proofpoint dodaje da je ista kompanija bila meta i u novembru 2024.
Takođe je zabilježena aktivnost grupe UNK_ColtCentury (poznata i kao TAG-100 i Storm-2077), koja je slala benigne mejlove pravnim odjeljenjima jedne tajvanske kompanije, kako bi stekla povjerenje i u konačnici isporučila remote access trojan (RAT) poznat kao Spark RAT.
„Ove aktivnosti vjerovatno odražavaju kineski strateški prioritet da postigne samodovoljnost u sektoru poluprovodnika i smanji zavisnost od međunarodnih lanaca snabdijevanja i tehnologija, posebno u kontekstu američkih i tajvanskih izvoznih ograničenja“, navodi se u izvještaju.
„Ove grupe pokazuju dugoročne obrasce u ciljanju koji su u skladu s interesima kineske države, kao i TTP-ove (taktike, tehnike i procedure) i prilagođene alate karakteristične za kineske operacije sajber špijunaže.“
Salt Typhoon napada Nacionalnu gardu SAD-a
U međuvremenu, NBC News izvještava da su kineski državni hakeri poznati kao Salt Typhoon (takođe poznat kao Earth Estries, Ghost Emperor i UNC2286) kompromitovali najmanje jednu državnu Nacionalnu gardu SAD-a, što ukazuje na širenje ciljeva ove grupe.
Prema izvještaju Ministarstva odbrane SAD-a od 11. juna 2025., upad je trajao najmanje devet mjeseci – od marta do decembra 2024.
Napad je „vjerovatno omogućio Pekingu da prikupi podatke koji mogu olakšati upade u Nacionalne garde drugih saveznih država, kao i njihovih partnera na državnom nivou zaduženih za sajber bezbjednost“.
Salt Typhoon je kompromitovao mrežu Nacionalne garde jedne američke savezne države i prikupio informacije o konfiguraciji mreže, saobraćaju prema drugim državama i teritorijama SAD-a, kao i lične podatke pripadnika službe.
Takođe su izvučeni konfiguracioni fajlovi iz mreža drugih vladinih i infrastrukturnih entiteta, uključujući dvije državne agencije, između januara i marta 2024. godine. Napadači su takođe prikupili administratorske kredencijale, mrežne dijagrame i geografske mape rasporeda, kao i lične podatke pripadnika službe.
Izvještaj navodi da ti fajlovi mogu omogućiti dalju eksploataciju mreža – uključujući krađu podataka, manipulaciju administratorskim nalozima i lateralno kretanje kroz druge mreže.
Početni pristup je ostvaren iskorištavanjem poznatih ranjivosti u uređajima Cisco (CVE-2018-0171, CVE-2023-20198, CVE-2023-20273) i Palo Alto Networks (CVE-2024-3400).
„Pristup Salt Typhoon grupe mrežama Nacionalne garde može uključivati podatke o odbrambenom sajber kapacitetu saveznih država, kao i lične podatke i lokacije osoblja – što se može koristiti za buduće ciljanje“, zaključuje se u izvještaju.
Ensar Seker, CISO kompanije SOCRadar, izjavio je da ovaj napad predstavlja ozbiljnu eskalaciju u sajber domeni:
„Otkrivanje da je Salt Typhoon imao pristup mreži Nacionalne garde skoro godinu dana je alarmantno. Ovo nije slučajna upad, već pažljivo planirana, dugoročna špijunaža sa ciljem prikupljanja strateških obavještajnih podataka.“
„Prisustvo grupe sugeriše da su radili više od krađe fajlova – vjerovatno su mapirali infrastrukturu, pratili komunikaciju i identifikovali ranjive tačke za buduće upotrebe. Posebno zabrinjava što su ovakve aktivnosti prošle neprimijećeno u vojnom okruženju.“
Izvor:Help Net Security