中国黑客用钴罢工、定制后门瞄准台湾的半导体行业

台湾半导体行业已成为三个中国国家支持的威胁者发起的鱼叉式网络钓鱼活动的目标。

Proofpoint在周三发布的一份报告中表示，这些活动的目标包括参与半导体和集成电路制造、设计和测试的组织、该行业内更广泛的设备和服务供应链实体，以及专门从事台湾半导体市场的金融投资分析师。

根据企业安全公司的说，该活动在2025年3月至6月之间进行。它们被归因于它跟踪的三个与中国结盟的集群，如UNK_FistBump、UNK_DropPitch和UNK_SparkyCarp。

据说UNK_FistBump在以就业为主题的网络钓鱼活动中针对半导体设计、包装、制造和供应链组织，导致Cobalt Strike或基于C的定制后门，称为Voldemort，该后门以前用于针对全球70多个组织的攻击。

攻击链涉及威胁行为者在发送给招聘和人力资源人员的电子邮件中冒名研究生，在目标公司寻找工作机会。

这些消息可能来自被盗帐户，包括一个所谓的简历（一个伪装成PDF的LNK文件），当打开时，会触发一个多阶段序列，导致Cobalt Strike或Voldemort的部署。同时，向受害者展示一份诱饵文件，以避免引起怀疑。

Proofpoint将伏地魔的使用归因于一个名为TA415的威胁者，该威胁者与被称为APT41和黄铜台风的多产的中国民族国家集团重叠。也就是说，由于用于丢下Cobalt Strike的加载器的差异以及依赖硬编码的IP地址进行命令和控制，与UNK_FistBump关联的伏地魔活动被评估为与TA415不同。

另一方面，UNK_DropPitch在多家主要投资公司中观察到引人注目的个人，他们专注于投资分析，特别是在台湾半导体行业。2025年4月和5月发送的网络钓鱼电子邮件嵌入了PDF文档的链接，该文档在打开后下载一个ZIP文件，其中包含使用DLL侧载启动的恶意DLL有效负载。

流氓DLL是一个代号为HealthKick的后门，它能够执行命令，捕获这些运行的结果，并将其渗透到C2服务器。在2025年5月下旬检测到的另一次攻击中，相同的DLL侧载方法已被用于生成TCP反向外壳，该外壳通过TCP端口465与演员控制的VPS服务器45.141.139[.]222建立联系。

反向外壳是攻击者进行侦察和发现步骤的途径，如果认为感兴趣，则通过C2域“ema.moctw[.]info”删除英特尔端点管理助理（EMA）进行远程控制。

Proofpoint表示，这个UNK_DropPitch定位是超越设计和制造实体的半导体生态系统中不太明显的领域的情报收集优先事项的典范。

对威胁者基础设施的进一步分析显示，其中两台服务器已配置为SoftEther VPN服务器，这是中国黑客组织广泛使用的开源VPN解决方案。与中国的额外连接来自于为其中一个C2服务器重用TLS证书。该证书过去曾与MoonBounce和SideWalk（又名ScrambleCross）等恶意软件家族相关联。

也就是说，目前还不知道重复使用是源于多个与中国结盟的威胁行为者（如SideWalk）共享的自定义恶意软件家族，还是由于这些群体的共享基础设施配置。

第三个集群UNK_SparkyCarp的特点是凭据网络钓鱼攻击，该攻击使用定制的中间对手（AitM）套件挑出了一家未命名的台湾半导体公司。这项运动于2025年3月被发现。

Proofpoint表示，网络钓鱼电子邮件伪装成帐户登录安全警告，并包含指向行为者控制的凭据网络钓鱼域名accshieldportal[.]com的链接，以及acesportal[.]com的跟踪信标URL，并补充说，该威胁行为者此前曾在2024年11月针对该公司。

该公司表示，它还观察到UNK_ColtCentury，也称为TAG-100和Storm-2077，向台湾半导体组织的法律人员发送良性电子邮件，以建立信任，并最终交付一个名为Spark RAT的远程访问木马。

该公司表示，这项活动可能反映了中国实现半导体自给自足和减少对国际供应链和技术的依赖的战略优先事项，特别是鉴于美国和台湾的出口管制。

这些新兴的威胁行为者继续表现出符合中国国家利益的长期目标模式，以及历史上与中国结盟的网络间谍活动相关的TTP和自定义能力。