A indústria de semicondutores de Taiwan tornou-se alvo de campanhas de spear-phishing realizadas por três atores de ameaças patrocinados pelo estado chinês.
"Os alvos dessas campanhas variaram desde organizações envolvidas na fabricação, design e teste de semicondutores e circuitos integrados, entidades da cadeia de suprimentos de equipamentos e serviços mais ampla dentro deste setor, bem como analistas de investimento financeiro especializados no mercado de semicondutores taiwaneses," disse a Proofpoint em um relatório publicado na quarta-feira.
A atividade, segundo a empresa de segurança empresarial, ocorreu entre março e junho de 2025.
Ela foi atribuída a três clusters alinhados com a China que ela monitora como UNK_FistBump, UNK_DropPitch e UNK_SparkyCarp.
UNK_FistBump é dito ter como alvo organizações de design de semicondutores, embalagem, fabricação e cadeia de suprimentos em campanhas de phishing temáticas de emprego que resultaram na entrega de Cobalt Strike ou um backdoor customizado em C chamado Voldemort, que já foi usado anteriormente em ataques direcionados a mais de 70 organizações globalmente.
A cadeia de ataque envolve o ator de ameaça se passando por um estudante de graduação em emails enviados ao recrutamento e pessoal de recursos humanos, buscando oportunidades de emprego na empresa alvo.
As mensagens, provavelmente enviadas de contas comprometidas, incluem um suposto currículo (um arquivo LNK disfarçado de PDF) que, ao ser aberto, desencadeia uma sequência multietapas que leva ao deployment de Cobalt Strike ou Voldemort.
Simultaneamente, um documento isca é exibido para a vítima para evitar levantar suspeitas.
O uso de Voldemort foi atribuído pela Proofpoint a um ator de ameaça chamado TA415, que se sobrepõe ao grupo de nação-estado chinês prolífico referido como APT41 e Brass Typhoon.
Dito isso, a atividade de Voldemort ligada ao UNK_FistBump é avaliada como distinta da TA415 devido a diferenças no loader usado para dropar Cobalt Strike e a dependência de um endereço IP codificado para o comando e controle.
UNK_DropPitch, por outro lado, foi observado atacando indivíduos em várias grandes firmas de investimento que focam em análise de investimento, particularmente dentro da indústria de semicondutores taiwaneses.
Os e-mails de phishing, enviados em abril e maio de 2025, embutem um link para um documento PDF, que, ao ser aberto, baixa um arquivo ZIP contendo um payload DLL malicioso que é lançado usando side-loading de DLL.
O DLL malicioso é um backdoor codinome HealthKick, capaz de executar comandos, capturar os resultados dessas execuções e exfiltrá-los para um servidor C2.
Em outro ataque detectado no final de maio de 2025, a mesma abordagem de side-loading de DLL foi usada para gerar um TCP reverse shell que estabelece contato com um servidor VPS controlado pelo ator em 45.141.139[.]222 através da porta TCP 465.
O reverse shell serve como um caminho para os atacantes conduzirem reconhecimento e etapas de descoberta, e, se considerado de interesse, implantar o Intel Endpoint Management Assistant (EMA) para controle remoto via o domínio C2 "ema.moctw[.]info".
"Este direcionamento UNK_DropPitch é exemplar das prioridades de coleta de inteligência abrangendo áreas menos óbvias do ecossistema de semicondutores além das entidades de design e fabricação", disse a Proofpoint.
Análises adicionais da infraestrutura do ator de ameaça revelaram que dois dos servidores foram configurados como servidores VPN SoftEther, uma solução VPN de código aberto amplamente utilizada por grupos de hackers chineses.
Uma conexão adicional com a China vem do reaproveitamento de um certificado TLS para um dos servidores C2.
Esse certificado foi vinculado no passado a famílias de malware como MoonBounce e SideWalk (também conhecido como ScrambleCross).
Dito isso, não se sabe atualmente se o reaproveitamento decorre de uma família de malware personalizada compartilhada entre vários atores de ameaças alinhados com a China, como SideWalk, ou devido ao provisionamento compartilhado de infraestrutura entre esses grupos.
O terceiro cluster, UNK_SparkyCarp, é caracterizado por ataques de phishing de credenciais que visam uma empresa de semicondutores taiwanesa não nomeada usando um kit adversário-no-meio (AitM) sob medida.
A campanha foi detectada em março de 2025.
"Os e-mails de phishing se passavam por avisos de segurança de login de conta e continham um link para o domínio de phishing de credenciais controlado pelo ator accshieldportal[.]com, bem como um URL de beacon de rastreamento para acesportal[.]com", disse a Proofpoint, acrescentando que o ator de ameaça já havia visado a empresa em novembro de 2024.
A empresa disse que também observou UNK_ColtCentury, que também é chamado de TAG-100 e Storm-2077, enviando emails benignos para o pessoal legal de uma organização de semicondutores taiwanesa em um esforço para construir confiança e, finalmente, entregar um trojan de acesso remoto conhecido como Spark RAT.
"Esta atividade provavelmente reflete a prioridade estratégica da China em alcançar a autossuficiência em semicondutores e diminuir a dependência de cadeias de suprimentos e tecnologias internacionais, particularmente à luz dos controles de exportação dos EUA e de Taiwan", disse a empresa.
Esses atores de ameaças emergentes continuam a exibir padrões de direcionamento de longa data consistentes com interesses do Estado chinês, bem como TTPs e capacidades customizadas historicamente associadas às operações de espionagem cibernética alinhadas com a China.
Salt Typhoon Visa a Guarda Nacional dos EUA O desenvolvimento ocorre conforme a NBC News relatou que hackers patrocinados pelo Estado chinês rastreados como Salt Typhoon (também conhecido como Earth Estries, Ghost Emperor e UNC2286) invadiram a Guarda Nacional de pelo menos um estado dos EUA, sinalizando uma expansão de seu direcionamento.
Diz-se que a violação durou pelo menos nove meses entre março e dezembro de 2024.
A violação "provavelmente forneceu a Pequim dados que poderiam facilitar o hacking de outras unidades da Guarda Nacional do Exército dos estados e, possivelmente, muitos de seus parceiros estaduais de segurança cibernética", disse um relatório de 11 de junho de 2025 do Departamento de Defesa dos EUA (DoD).
Salt Typhoon comprometeu extensivamente a rede da Guarda Nacional do Exército de um estado dos EUA e, entre outras coisas, coletou sua configuração de rede e seu tráfego de dados com as redes de seus contrapartes em todos os outros estados dos EUA e pelo menos quatro territórios dos EUA.
O ator de ameaça também exfiltrou arquivos de configuração associados a outras entidades governamentais dos EUA e infraestrutura crítica, incluindo duas agências governamentais estaduais, entre janeiro e março de 2024.
No mesmo ano, Salt Typhoon aproveitou seu acesso à rede da Guarda Nacional do Exército de um estado dos EUA para colher credenciais de administrador, diagramas de tráfego de rede, um mapa de localizações geográficas por todo o estado e PII de seus membros do serviço.
Esses arquivos de configuração de rede poderiam habilitar a exploração adicional da rede de outros computadores, incluindo captura de dados, manipulação de contas de administrador e movimento lateral entre redes, disse o relatório.
O acesso inicial foi encontrado facilitado pela exploração de vulnerabilidades de segurança conhecidas nos aparelhos da Cisco (
CVE-2018-0171
,
CVE-2023-20198
e
CVE-2023-20273
) e da Palo Alto Networks (
CVE-2024-3400
).
"O acesso do Salt Typhoon às redes da Guarda Nacional do Exército nesses estados poderia incluir informações sobre a postura de defesa cibernética do estado, bem como a informação identificável pessoalmente (PII) e locais de trabalho do pessoal de segurança cibernética do estado – dados que poderiam ser usados para informar futuros esforços de direcionamento cibernético."
Ensar Seker, CISO na SOCRadar, disse em uma declaração que o ataque é mais um lembrete de que atores de ameaças persistentes avançadas estão mirando em agências federais e componentes estaduais, que podem ter uma postura de segurança mais variada.
"A revelação de que o Salt Typhoon manteve acesso a uma rede da Guarda Nacional dos EUA por quase um ano é uma séria escalada no domínio cibernético," disse Seker.
Isso não é apenas uma intrusão oportunística.
Reflete uma espionagem deliberada e de longo prazo projetada para extrair silenciosamente inteligência estratégica. A presença sustentada do grupo sugere que eles estavam coletando mais do que apenas arquivos, eles provavelmente estavam mapeando infraestrutura, monitorando fluxos de comunicação e identificando pontos fracos exploráveis para uso futuro.
O que é profundamente preocupante é que essa atividade ficou indetectável por tanto tempo em um ambiente militar.
Isso levanta questões sobre lacunas de visibilidade, políticas de segmentação e capacidades de detecção em redes de defesa híbridas federal-estaduais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...