Anti-akış, DMARC, siber savaş / ulus-devlet saldırıları, dolandırıcılık yönetimi ve siber suç
3 devlet destekli grup mızrak-metre yarı iletken ekosistemi
Prajeet Nair (@prajeaetspeaks) •
17 Temmuz 2025
Çin devlet uyumlu bilgisayar korsanları, mızrak aktı kampanyaları aracılığıyla Tayvan’ın yarı iletken ekosistemine karşı casusluk çabalarını artırdı.
Ayrıca bakınız: Ondemand | 2024 Kimlik Yardım Insights: 11,9 milyon kullanıcı davranışı riskiniz hakkında ne ortaya koyuyor
Mart ve Haziran ayları arasında, üç farklı tehdit aktörü – unk_fistbump, unk_droppitch ve unk_sparkycarp – hedefli yonga üreticileri, ambalaj ve test firmaları, ekipman tedarikçileri ve hatta yarı iletken sektörünü izleyen finansal analistler, kanıtı tarafından yapılan bir rapora göre, caspionage olası güdüsü.
“Bu kampanyaların hedefleri, yarı iletkenlerin ve entegre devrelerin, bu sektördeki daha geniş ekipman ve hizmet tedarik zinciri varlıklarının üretimi, tasarımı, = ve test edilmesi ve Tayvanlı yarı iletken pazarında uzmanlaşmış finansal yatırım analistleri arasında değişmektedir.” Dedi.
UNK_FISTBUMP, pozisyona başvuran lisansüstü öğrenciler olarak poz vererek iş temalı yemleri kullandı. Saldırganlar, tehlikeye atılan Tayvanlı Üniversite e -posta hesaplarından kimlik avı e -postaları İK ve Semiconductor şirketlerinde ekipleri işe aldı. Ekli belgeler, Zendesk ve FileMail gibi dosya paylaşım platformlarında barındırılan kötü amaçlı yazılım bağlı ZIP veya PDF dosyalarına yol açtı.
Kampanyalar, tanınmış Cobalt Strike Beacon yükünü veya Voldemort olarak bilinen özel bir arka kapı sundu. Kötü amaçlı yazılım, DLL yan yükleme tekniklerini ve bazı durumlarda Google tabakalarını bir komut ve kontrol kanalı olarak kullandı. Raporda, “Mayıs 2025’in sonlarında alışılmadık bir kampanyada, UNK_FISTBUMP, aynı şifre korumalı arşivle başlayan iki ayrı enfeksiyon zinciri içeriyordu.” Dedi. Biri kobalt grevine, diğeri Voldemort’a yol açtı.
Voldemort daha önce TA415 veya APT41 ile ilişkili olsa da, Proofpoint analistleri farklı tekniklerin unk_fistbump’ın farklı bir grup olduğunu gösterdiğini söyledi. “Bu ve diğer farklılıklar nedeniyle, Çin siber yemek tehdidi aktörlerinde özel yetenek paylaşımının daha geniş eğilimi ile birleştiğinde, Proofpoint şu anda UNK_FISTBUMP etkinliğini TA415’e farklı olarak izliyor.”
Bu arada unk_droppitch, Tayvan’ın yarı iletken ve teknoloji sektörlerinde uzmanlaşmış finansal yatırım uzmanlarına odaklandı. Saldırganlar, hayali yatırım firmalarını taklit etti ve savunmasız yürütülebilir ve DLL’ler içeren kötü amaçlı fermuar dosyaları gönderdi, bu da Healthkick veya Basit Raw TCP Ters Kabuğu gibi arka fırınların teslimine neden oldu. Kötü amaçlı yazılım, Faketls ve XOR şifreleme kullanarak TCP bağlantı noktası 465 üzerinden C2 sunucuları ile iletişim kurdu.
Raporda, “Nisan ve Mayıs aylarında Proofpoint, Çin tarafından uyumlu bir başka tehdit oyuncusu, birçok büyük yatırım bankasına karşı hedeflenen kimlik avı kampanyaları yürüten UNK_DROPPITCH olarak izledi.” Dedi. “Healthkick Backdoor daha sonra aktör kontrollü IP Adresi 82.118.16’ya bir web soketi oluşturmaya çalışır[.]72 TCP Port 465 üzerinden. “
Proofpoint, unk_sparkycarp’ın Tayvanlı çip şirketlerinden kimlik bilgilerini toplamak için ortada bir düşman kimlik avı çerçevesi kullandığını söyledi. Bir kampanyada, giriş güvenlik uyarıları olarak gizlenen e-postalar, kurbanları AccShieldPortal gibi saldırgan kontrollü alanlarda barındırılan sahte giriş portallarına yönlendirdi[.]com. Grup daha önce aynı sektörü 2024’te benzer taktikleri kullanarak hedeflemiştir.
Araştırmacılar, “Mart 2025’ten bu yana, Tayvanlı varlıklara özel bir vurgu yaparak, özellikle bu sektörü hedefleyen farklı Çin uyumlu gruplardan birden fazla kampanyanın manzarasına geçti.” Dedi.
Proofpoint, bu yoğunlaştırılmış hedeflemeyi Çin’in yarı iletken kendi kendine yeterliliği elde etme stratejik hedefine bağlar. Raporda, “Bu faaliyet, Çin’in yarı iletken kendi kendine yeterliliğini elde etmek ve uluslararası tedarik zincirlerine ve teknolojilerine olan güvenini azaltmak için Çin’in stratejik önceliğini yansıtıyor.” Dedi.
Araştırmacılar, “İyi kurulmuş Çin ile uyumlu tehdit aktörleri, kenar cihazlarının ve diğer başlangıç erişim vektörlerinin sömürülmesine yönelik taktikleri, teknikleri ve prosedürleri değiştirdiğinden, Proofpoint, Çin uyumlu yeni kümelerin kimlik avı tehdidi manzarasına akını gözlemledi.” Dedi.
Raporda, Tayvanlı yarı iletken endüstrisinin şimdi sadece teknik liderliği için değil, aynı zamanda küresel çip tedarik zinciri ve finansal piyasalardaki rolü için Çin’in siber boyama makinesinin artı işaretlerinde yattığı konusunda uyarıyor.