Proofpoint Tehdit Araştırması, Mart ve Haziran 2025 yılları arasında Tayvan’ın yarı iletken endüstrisini hedefleyen sofistike çok yönlü siber sorumluluk kampanyası belirledi.
UNK_FISTBUMP, UNK_DROPPITCH ve UNK_SPARKYCARP olarak adlandırılan üç farklı Çin devlet destekli tehdit aktörü, yarı iletken üretim, tasarım, test, tedarik zinciri varlıkları ve finansal yatırım analistlerini kapsayan kuruluşlara karşı koordineli kimlik avı operasyonlarını gerçekleştirdi.
Kampanyanın birincil motivasyonu, yarı iletken kendi kendine yeterliliği elde etmek ve uluslararası tedarik zincirlerine bağımlılığı azaltmak için Çin’in stratejik önceliğini destekleyen istihbarat toplama gibi görünüyor.
Bu faaliyet, ABD ve Tayvanlı ihracat kontrollerinden artan dış baskılara denk geliyor ve Çin’in ulusal ekonomik kalkınma girişimlerinde yarı iletken teknolojilerinin kritik önemini güçlendiriyor.
UNK_FISTBUMP, Mayıs ve Haziran 2025 boyunca yarı iletken üretim, ambalaj, test ve tedarik zinciri organizasyonlarını hedefleyen istihdam temalı kimlik avı kampanyaları yürüterek teknik olarak en sofistike aktör olarak ortaya çıktı.
İstihdam fırsatları arayan Ulusal Tayvan Üniversitesi’nden lisansüstü öğrenciler olarak poz veren tehdit aktörleri, işe alım ve İK personeli ile temasa geçerken güvenilirliklerini artırmak için meşru üniversite e -posta hesaplarını tehlikeye attılar.
Grubun enfeksiyon metodolojisi, şifre korumalı arşiv ekleri veya Zendesk örneklerinde barındırılan dosyalara yol açan URL’ler içeren PDF belgeleri veya dosya listesi paylaşım hizmetleri içeriyordu.
Alışılmadık bir taktiksel evrimde, UNK_FISTBUMP başlangıçta Mayıs 2025’in sonlarında özel Voldemort Backdoor’a geçmeden önce Cobalt Strike Beacon yüklerini konuşlandırdı.
En önemlisi, bir kampanya aynı arşiv içinde çift enfeksiyon zincirleri içeriyordu ve aynı anda farklı Microsoft kısayol dosyaları aracılığıyla hem Cobalt Strike hem de Voldemort yükleri sunuyordu.
Çin Casusluk Operasyonları
Teknik analiz, unk_fistbump tarafından kullanılan sofistike DLL sideloading tekniklerini ortaya çıkarır ve yan yükleme saldırılarına karşı savunmasız meşru imzalı yürütülebilir ürünlerden yararlanır.
Kobalt grev enfeksiyon zinciri, daha sonra rc4 şifreli kobalt grev beacon yükünü şifresini çözmek için Javaw.exe’yi çalıştıracak şekilde C: \ Users \ public \ Videos dizini için kötü amaçlı dosyaları kopyalayan bir VBS komut dosyası kullandı.
166.88.61’de altyapı ile iletilen yük[.]35 TCP bağlantı noktası 443 üzerinden özelleştirilmiş bir gotomeeting dövülebilir C2 profili kullanılarak.
Voldemort enfeksiyon zinciri, ciscosparklauncher.dll sideload için ciscocollabhost.exe kullanan benzer bir sofistike gösterdi ve sonuçta komut ve kontrol iletişimleri için Google sayfalarını kullanan özel arka kapıyı sundu.
Bu özel uygulama, daha önce TA415’e (APT41, Pirinç Typhoon) atfedilen tekniklere benzemektedir, ancak ayrı izleme gerektiren yeterli farklılıklar mevcuttur.
UNK_DROPPITCH, Tayvanlı Yarıiletken pazar analizinde uzmanlaşmış büyük bankalardaki finansal yatırım analistlerine odaklanan geleneksel üretim odaklı hedeflemeden stratejik bir ayrılmayı temsil etti.
Nisan ve Mayıs 2025’te faaliyet gösteren bu grup, işbirliği fırsatları arayan hayali bir finansal yatırım şirketi olarak göründü.
İlk yük teslimatları, 82.118.16 ile iletişim kuran Faketls protokolünü kullanan basit bir özel araç olan Healthkick Backdoor’u içeriyordu.[.]72 TCP Port 465 üzerinden.
Grubun altyapı analizi, “Bay Robot” karakteri Elliot Alderson’a atıfta bulunan ters DNS isimleri ile Rus VPS barındırma sağlayıcısı Profitserver’ın tutarlı kullanımını ortaya çıkardı.
Birden çok sunucu, hem altyapı yönetimi hem de trafik tünelleme için Çin tehdit aktörleri arasında ortak bir teknik olan yumuşak VPN konfigürasyonları sergiledi.
Özellikle dikkate değer bir bulgu, tarihsel olarak kaldırım arka kapı ve Moonbounce ürün yazılımı rootkit dahil olmak üzere birçok Çin devlet destekli operasyonla ilişkili bir TLS sertifikasının (CN = AS.WebSite) tanımlanmasıydı.
Gelişmiş kalıcı tehdit manzarası
Üçüncü aktör UNK_SPARKYCARP, Tayvanlı yarı iletken şirketleri hedefleyen özel ortada (AITM) çerçeveler kullanılarak kimlik bilgisi kimlik avı işlemleri gerçekleştirdi.
Kimlik avı e-postaları, kurbanları aktör kontrollü alan Accshieldportal’a yönlendirerek hesap giriş güvenlik uyarıları olarak maskelendi[.]com.
Bu, diğer iki grubun kötü amaçlı yazılım odaklı kampanyalarına kıyasla daha doğrudan bir yaklaşımı temsil eder.
Bu koordineli faaliyetin daha geniş etkileri, şirket hedeflemesinin ötesine uzanmaktadır.
Farklı yeteneklere sahip çoklu tehdit aktörlerinin eşzamanlı olarak konuşlandırılması, Çin’in ulusal öncelikleriyle uyumlu iyi bir istihbarat toplama stratejisi olduğunu göstermektedir.
Sporadik yarı iletken hedeflemeden sürekli, çok vektörlü kampanyalara geçiş, Çin siber casusluk faaliyetlerinde bu kritik sektöre karşı bir yükseliş olduğunu göstermektedir.
Proofpoint’in analizi, bu ortaya çıkan tehdit aktörlerinin, taktiklerini, tekniklerini ve prosedürlerini mevcut güvenlik manzaralarına uyarlarken Çin devlet çıkarlarıyla tutarlı uzun süredir devam eden hedefleme kalıpları sergilemeye devam ettiğini ortaya koymaktadır.
Çin’e hizalanmış yeni kimlik avı gruplarının akışı, özellikle yerleşik aktörlerin kenar cihaz sömürüsüne ve alternatif başlangıç erişim vektörlerine doğru giderek daha fazla dönmesiyle, tehdit manzarasında ilgili bir evrimi temsil ediyor.
Yarı iletken ekosistemin imalattan finansal analize kadar farklı yönlerini hedefleyen bu kampanyaların koordineli doğası, Çin devlet destekli siber operasyonları yönlendiren kapsamlı istihbarat gereksinimlerini göstermektedir.
Bu çok boyutlu yaklaşım, teknik özelliklerden pazar dinamiklerine ve yatırım stratejilerine kadar tüm yarı iletken değer zincirinde istihbarat toplanmasını sağlar.
Uzlaşma göstergeleri
| Gösterge Türü | Gösterge | Tanım | İlişkili Aktör |
|---|---|---|---|
| IP adresi | 166.88.61[.]35 | Kobalt Strike C2 | Nunk_fistbump |
| IP adresi | 82.118.16[.]72 | Healthkick Backdoor C2 | Unk_droppitch |
| IP adresi | 45.141.139[.]222 | Ters Kabuk C2 | Unk_droppitch |
| İhtisas | moctw[.]bilgi | Kötü amaçlı yazılım teslimi | Unk_droppitch |
| İhtisas | akssipli[.]com | Kimlik avı | Unk_sparkycarp |
| Url | hxxps: // sheets[.]googleap[.]com: 443/v4/e-tablolar/1Z8YKHVYH9DF-B_BFDA9C4Q2OJFRGL-FQ1V797Y5576Y | Voldemort Google Sheets C2 | Nunk_fistbump |
| E -posta | John.doe89e@gmail[.]com | Kötü amaçlı yazılım teslimi | Nunk_fistbump |
| E -posta | amelia_w_chavez@proton[.]Ben | Kötü amaçlı yazılım teslimi | Unk_droppitch |
| SHA256 | 82ECFE0ADA6F7C0CEAA78BCA2E8234241F1A1B8670B5B970DF5E2E255C3A56EF | Ciscosparklauncher.dll (Voldemort Loader) | Nunk_fistbump |
| SHA256 | bbdad59db64c48f0a9b3e8f2600314b0e3ebd200e72fa96bf5a84dd29d64ac5 | jli.dll (kobalt grev yükleyici) | Nunk_fistbump |
| SHA256 | 9b2cbcf2e0124d79130c404f7b50246510ab681a3a8a84242b78613ef322bc79 | libcef.dll (Healthkick Backdoor) | Unk_droppitch |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now