Il settore dei semiconduttori taiwanesi sotto attacco: campagne di spear-phishing mirate
Il settore dei semiconduttori taiwanesi è diventato il bersaglio di campagne di spear-phishing condotte da tre attori di minacce sponsorizzati dallo stato cinese. Secondo un rapporto pubblicato da Proofpoint, gli obiettivi di queste campagne variavano tra organizzazioni coinvolte nella produzione, progettazione e test di semiconduttori e circuiti integrati, entità della catena di fornitura di attrezzature e servizi più ampia all’interno di questo settore, nonché analisti di investimenti finanziari specializzati nel mercato dei semiconduttori taiwanesi.
L’attività, secondo l’azienda di sicurezza aziendale, si è svolta tra marzo e giugno 2025. Queste operazioni sono state attribuite a tre cluster allineati alla Cina che Proofpoint traccia come UNK_FistBump, UNK_DropPitch e UNK_SparkyCarp.
UNK_FistBump: attacchi mirati alla catena di fornitura dei semiconduttori
UNK_FistBump ha preso di mira organizzazioni di progettazione, confezionamento, produzione e catena di fornitura di semiconduttori attraverso campagne di phishing a tema occupazionale. Queste campagne hanno portato alla consegna di Cobalt Strike o di un backdoor personalizzato in C, soprannominato Voldemort, precedentemente utilizzato in attacchi rivolti a oltre 70 organizzazioni a livello globale.
La catena di attacco prevede che l’attore della minaccia si finga uno studente laureato in email inviate al personale di reclutamento e risorse umane, alla ricerca di opportunità di lavoro presso l’azienda presa di mira. I messaggi, probabilmente inviati da account compromessi, includono un presunto curriculum (un file LNK che si maschera da PDF) che, una volta aperto, innesca una sequenza a più fasi che porta alla distribuzione di Cobalt Strike o Voldemort. Contemporaneamente, un documento esca viene visualizzato alla vittima per evitare di destare sospetti.
L’uso di Voldemort è stato attribuito da Proofpoint a un attore di minacce chiamato TA415, che si sovrappone al prolifico gruppo cinese noto come APT41 e Brass Typhoon. Tuttavia, l’attività di Voldemort collegata a UNK_FistBump è valutata come distinta da TA415 a causa delle differenze nel loader utilizzato per distribuire Cobalt Strike e della dipendenza da un indirizzo IP hard-coded per il comando e controllo.
UNK_DropPitch: attacchi agli analisti di investimento
UNK_DropPitch, d’altra parte, è stato osservato colpire individui in diverse grandi società di investimento che si concentrano sull’analisi degli investimenti, in particolare all’interno dell’industria dei semiconduttori taiwanesi. Le email di phishing, inviate tra aprile e maggio 2025, contengono un link a un documento PDF che, una volta aperto, scarica un file ZIP contenente un payload DLL dannoso lanciato tramite DLL side-loading.
La DLL dannosa è un backdoor chiamato HealthKick, capace di eseguire comandi, catturare i risultati di quelle esecuzioni ed esfiltrarli a un server C2. In un altro attacco rilevato a fine maggio 2025, lo stesso approccio di DLL side-loading è stato utilizzato per generare una shell TCP inversa che stabilisce un contatto con un server VPS controllato dall’attore 45.141.139[.]222 sulla porta TCP 465.
La shell inversa serve come percorso per gli attaccanti per condurre passaggi di ricognizione e scoperta e, se ritenuto di interesse, distribuire l’Intel Endpoint Management Assistant (EMA) per il controllo remoto tramite il dominio C2 “ema.moctw[.]info”.
Fonte: The Hackers News
