Tayvanlı yarı iletken endüstrisi, Çin devlet destekli üç tehdit aktörünün üstlendiği mızrak avı kampanyalarının hedefi haline geldi.
Proofpoint Çarşamba günü yayınlanan bir raporda, “Bu kampanyaların hedefleri, yarı iletkenlerin ve entegre devrelerin, bu sektördeki daha geniş ekipman ve hizmet tedarik zinciri kuruluşlarının üretimi, tasarımı ve test edilmesinde yer alan kuruluşlardan ve Tayvanlı Semiconductor pazarında uzmanlaşmış finansal yatırım analistleri arasında değişiyordu.” Dedi.
Etkinlik, Kurumsal Güvenlik Firması’na göre Mart ve Haziran 2025 arasında gerçekleşti. Onlar unk_fistbump, unk_droppitch ve unk_sparkycarp olarak izlediği üç Çin uyumlu kümeye atfedildi.
UNK_FISTBUMP, daha önce küresel olarak 70’den fazla organizasyona yönelik saldırılarda kullanılan kobalt grevinin veya daha önce 70’den fazla organizasyona yönelik saldırılarda kullanılan C-tabanlı özel arka kapılı Voldemort olarak adlandırılan istihdam temalı kimlik avı kampanyalarında yarı iletken tasarımı, ambalaj, üretim ve tedarik zinciri kuruluşlarını hedeflediği söyleniyor.
Saldırı zinciri, işe alım ve insan kaynakları personeline gönderilen e -postalarda lisansüstü öğrenci olarak poz veren tehdit aktörünü, hedeflenen şirkette iş fırsatları arıyor.
Muhtemelen uzlaşmış hesaplardan gönderilen mesajlar, açıldığında, kobalt grevinin veya Voldemort’un dağıtılmasına yol açan çok aşamalı bir diziyi tetikleyen iddia edilen bir özgeçmiş (PDF olarak maskelenen bir LNK dosyası) içerir. Eşzamanlı olarak, şüpheyi arttırmak için kurbana bir tuzak belgesi görüntülenir.
Voldemort’un kullanımı, Pro -point tarafından APT41 ve pirinç typhoon olarak adlandırılan üretken Çin ulus devlet grubuyla örtüşen TA415 adlı bir tehdit oyuncusu ile ilişkilendirildi. Bununla birlikte, UNK_FISTBUMP ile bağlantılı Voldemort etkinliği, kobalt grevini düşürmek için kullanılan yükleyicideki farklılıklar ve komut ve kontrol için sert kodlanmış bir IP adresine güvenmek nedeniyle TA415’ten farklı olarak değerlendirilir.
Öte yandan, UNK_DROPPITCH, özellikle Tayvanlı yarı iletken endüstrisinde yatırım analizine odaklanan birçok büyük yatırım firmasında çarpıcı bireyler gözlenmiştir. Nisan ve Mayıs 2025’te gönderilen kimlik avı e-postaları, açıldıktan sonra DLL yan yükleme kullanılarak başlatılan kötü amaçlı bir DLL yükü içeren bir fermuar dosyası indiren bir PDF belgesine bir bağlantı yerleştirir.
Rogue DLL, komutları yürütebilen, bu çalışmaların sonuçlarını yakalayabilen ve bunları bir C2 sunucusuna ekspiltrating yapabilen bir arka kapı kodlu Healthkick. Mayıs 2025’in sonlarında tespit edilen başka bir saldırıda, aynı DLL yan yükleme yaklaşımı, aktör kontrollü bir VPS sunucusu ile temas kuran bir TCP ters kabuğu ortaya çıkarmak için kullanıldı.[.]222 TCP Port 465 üzerinden.
Ters kabuk, saldırganların keşif ve keşif adımları yürütmeleri için bir yol görevi görür ve eğer ilgi görürse, C2 alanı “EMA.MOCTW aracılığıyla uzaktan kumanda için Intel Uç Nokta Yönetimi Asistanını (EMA) bırakın[.]bilgi.”
“Bu unk_droppitch hedefleme, yarı iletken ekosisteminin sadece tasarım ve üretim varlıklarının ötesinde daha az belirgin alanlarını kapsayan istihbarat toplama öncelikleri örnektir.” Dedi.
Tehdit oyuncusu altyapısının daha fazla analizi, sunuculardan ikisinin açık kaynaklı bir VPN çözümü olan yumuşak VPN sunucuları olarak yapılandırıldığını ortaya koydu. Çin hack grupları tarafından yaygın olarak kullanılmaktadır. Çin ile ek bir bağlantı, C2 sunucularından biri için bir TLS sertifikasının yeniden kullanılmasından gelir. Bu sertifika geçmişte Moonbounce ve Cidewalk (diğer adıyla ScrambleCross) gibi kötü amaçlı yazılım aileleriyle bağlantılı olarak bağlanmıştır.
Bununla birlikte, şu anda, yeniden kullanımın, kaldırım gibi birden fazla Çin uyumlu tehdit aktöründe veya bu gruplar arasında paylaşılan altyapı sağlanması nedeniyle paylaşılan özel bir kötü amaçlı yazılım ailesinden kaynaklanıp kaynaklanmadığı bilinmemektedir.
Üçüncü küme, unk_sparkycarp, ısmarlama bir Tayvanlı yarı iletken şirketi, ortada ısmarlama bir düşman (AITM) kiti kullanan kimlik bilgisi avı saldırıları ile karakterizedir. Kampanya Mart 2025’te tespit edildi.
“Kimlik avı e-postaları, hesap girişi güvenlik uyarıları olarak maskelendi ve aktör kontrollü kimlik avı alanı AccshieldPortal’a bir bağlantı içeriyordu[.]com ve Acesportal için bir izleme işaret URL’si[.]Com, “dedi Proofpoint, Tehdit Oyuncusu ekleyerek daha önce Kasım 2024’te şirketi hedef almıştı.
Şirket, TAG-100 ve Storm-20177 olarak da adlandırılan UNK_COLTCENTURY’ı da gözlemlediğini ve Tayvanlı Yarıiletken kuruluşundaki yasal personele Güven inşa etmek ve sonuçta Spark Rat olarak bilinen bir uzaktan erişim Truva atı sunmak için iyi huylu e-postalar gönderdiğini söyledi.
Şirket, “Bu faaliyet muhtemelen Çin’in yarı iletken kendi kendine yeterliliğini elde etmek ve özellikle ABD ve Tayvanlı ihracat kontrolleri ışığında uluslararası tedarik zincirlerine ve teknolojilerine güvenmek için stratejik önceliğini yansıtıyor.” Dedi.
Diyerek şöyle devam etti: “Bu ortaya çıkan tehdit aktörleri, Çin devlet çıkarları ile tutarlı uzun süredir devam eden hedefleme kalıpları sergilemeye devam ediyor ve tarihsel olarak Çin’e hizalanmış siber casusluk operasyonlarıyla ilişkili özel yetenekler.”
Tuz Typhoon ABD Ulusal Muhafızlarının peşinden gidiyor
Geliştirme, NBC News, Çin devlet destekli hackerların tuz tayfun (diğer adıyla Dünya Astries, Ghost İmparator ve UNC2286) olarak izlendiğini bildirdiği gibi, en az bir ABD Devleti Ulusal Muhafızına girerek hedeflemesinin genişlemesini işaret etti. İhlalin Mart ve Aralık 2024 arasında en az dokuz aydan sürdüğü söyleniyor.
İhlal, ABD Savunma Bakanlığı’ndan (DOD) bir raporda, 11 Haziran 2025 tarihli bir raporda, “muhtemelen Pekin’e diğer eyaletlerin Ordu Ulusal Muhafız birimlerinin ve muhtemelen eyalet düzeyindeki siber güvenlik ortaklarının hacklenmesini kolaylaştırabilecek veriler sağladı” dedi.
“Salt Typhoon, bir ABD eyaletinin Ordu Ulusal Muhafızlarının ağını kapsamlı bir şekilde tehlikeye attı ve diğer şeylerin yanı sıra ağ yapılandırmasını ve veri trafiğini, diğer tüm ABD eyaletlerindeki ve en az dört ABD bölgesindeki muadillerinin ağlarıyla topladı.”
Tehdit oyuncusu, Ocak ve Mart 2024 arasında iki eyalet devlet kurumu da dahil olmak üzere diğer ABD hükümeti ve kritik altyapı kuruluşları ile ilişkili yapılandırma dosyalarını da söndürdü. Tuz tayfası, ABD eyaletinin ordu ulusal koruma ağına erişimini yönetici kimlikleri, ağ trafik şemaları, eyalet boyunca ve hizmet üyelerinin coğrafi konumlarının bir haritasını hasat etmek için kullandı.
Raporda, bu ağ yapılandırma dosyaları, veri yakalama, yönetici hesabı manipülasyonu ve ağlar arasındaki yanal hareket dahil olmak üzere diğer ağların daha fazla bilgisayar ağının kullanılmasını sağlayabilir.
Başlangıç erişiminin Cisco (CVE-2018-0171, CVE-2023-20198 ve CVE-2023-20273) ve Palo Alto ağları (CVE-2024-3400) aletlerinde bilinen güvenlik açıklarının kullanımı ile kolaylaştırıldığı bulunmuştur.
“Bu eyaletlerdeki Ordu Ulusal Muhafız ağlarına tuz tayfun erişimi, devlet siber savunma duruşu ile ilgili bilgileri, kişisel olarak tanımlanabilir bilgiler (PII) ve devlet siber güvenlik personelinin çalışma yerlerini-gelecekteki siber hedefleme çabalarını bilgilendirmek için kullanılabilecek verileri içerebilir.”
Sokradar’daki CISO olan Ensar Seker, saldırının, ileri süren tehdit aktörlerinin federal ajansların ve daha çeşitli bir güvenlik duruşuna sahip olabilecek eyalet düzeyinde bileşenlerin peşinden gittiğini hatırlattığını söyledi.
Seker, “Tuz tayfunun bir ABD Ulusal Muhafız ağına yaklaşık bir yıldır erişimi sürdürdüğü vahiy, siber alanda ciddi bir yükseliş.” Dedi. “Bu sadece fırsatçı bir müdahale değil. Stratejik zekayı sessizce çıkarmak için tasarlanmış kasıtlı, uzun vadeli casusluğu yansıtıyor.”
“Grubun sürekli varlığı, sadece dosyalardan daha fazlasını topladıklarını, muhtemelen altyapıyı haritaladıklarını, iletişim akışlarını izlediklerini ve gelecekteki kullanım için sömürülebilir zayıf noktaları tanımladıklarını gösteriyor. Bu aktivitenin askeri bir ortamda bu kadar uzun süre farklılaşmadığı. Görünürlük boşlukları, segmentasyon netliği ve sapma yetenekleri hakkında sorular ortaya çıkarıyor.