La industria de semiconductores de Taiwán ha sido el objetivo de una campaña de phishing de lanza llevada a cabo por tres actores amenazantes patrocinados por China.
“Los objetivos de estas campañas variaron desde organizaciones involucradas en la fabricación, diseño y pruebas de semiconductores y circuitos integrados, una amplia gama de entidades de cadena de suministro de equipos y servicios dentro de este sector, y analistas de inversiones financieras especializadas en el mercado de semiconductores taiwaneses.
Según la compañía de seguridad empresarial, la actividad tuvo lugar entre marzo y junio de 2025. Se atribuyen a tres grupos ubicados en China que rastrean como unk_fistbump, unk_droppitch y unk_sparkycarp.
Se dice que UNK_FISTBUMP tiene organizaciones de diseño de semiconductores, envases, fabricación y cadena de suministro de semiconductores dirigidos en una campaña de phishing con temática de empleo en la que se utilizaron puestos de traseros personalizados basados en C en más de 70 ataques a nivel mundial, lo que resultó en la entrega de Voldemort.
La cadena de ataque incluye a los actores de amenaza que pretenden ser estudiantes graduados en correos electrónicos enviados al personal de reclutamiento y recursos humanos, buscando oportunidades de empleo en empresas específicas.
Los mensajes que pueden enviarse desde cuentas comprometidas incluyen currículums (archivos LNK posan como PDF) que desencadenan secuencias de varias etapas que, cuando se publican, conducen al despliegue de Cobalt Strike o Voldemort. Al mismo tiempo, se mostrará un documento a la víctima para evitar plantear sospechas.
El uso de Voldemort se atribuye a un actor de amenaza llamado TA415 por Proofpoint, que se superpone con el prolífico grupo de estado-estado chino llamado APT41 y el tifón de latón. Dicho esto, la actividad de Voldemort vinculada a unk_fistbump se clasifica como diferente de TA415 debido a las diferencias en el cargador utilizada para eliminar los ataques de cobalto y la dependencia de la dirección IP de la codificación dura del comando y el control.
Mientras tanto, se ha observado a Unk_Droppitch a individuos impresionantes de varias compañías de inversión importantes, particularmente centrándose en el análisis de inversiones dentro de la industria de semiconductores taiwaneses. Los correos electrónicos de phishing enviados en abril y mayo de 2025 tienen enlaces integrados a los documentos PDF. Esto descargará un archivo zip que contiene la carga útil de DLL maliciosa que se lanzó con la DLL Sideload.
Rogue DLL es el nombre de código de código de puerta trasera Healthkick que le permite ejecutar comandos, capturar los resultados de sus ejecuciones y extraerlas a un servidor C2. Otro ataque detectado a fines de mayo de 2025 utiliza el mismo enfoque DLL Sideload para generar un shell inverso TCP que establece contacto con el servidor VPS controlado por el actor 45.141.139 (.) 222 a través del puerto TCP 465.
El Shell inverso sirve como una vía para que los atacantes realicen procedimientos de reconocimiento y descubrimiento, y, si se considera interés, deja caer un asistente de gestión de punto final Intel (EMA) controlado a través del dominio C2 «EMA.MOCTW (.) Información».
«Esta orientación UNK_Droppitch se basa en las prioridades de las colecciones de inteligencia que abarcan no solo las entidades de diseño y fabricación, sino también áreas menos obvias del ecosistema de semiconductores», dijo Proofpoint.
Un análisis posterior de la infraestructura del actor de amenaza reveló que los dos servidores están configurados como servidores VPN de acre suave, una solución VPN de código abierto ampliamente utilizada por los grupos de piratería chinos. Las conexiones adicionales a China provienen de reutilizar un certificado TLS en el servidor C2. Este certificado se ha vinculado al pasado en relación con familias de malware como MoonBounce y Sidewalk (también conocido como Scramblecross).
Dicho esto, no está claro si la reutilización proviene de una familia de malware personalizado compartido por múltiples actores de amenaza ubicados en chinos, como aceras o el aprovisionamiento de la infraestructura compartida en estos grupos.
El tercer clúster, unk_sparkycarp, se caracteriza por un ataque de phishing calificado para seleccionar una empresa de semiconductores taiwaneses sin nombre que utiliza un kit de enemigo personalizado (AITM). La campaña fue descubierta en marzo de 2025.
«El correo electrónico de phishing plantea como una advertencia de seguridad de inicio de sesión de cuenta, y enlaces a la calificación controlada por el actor dominio de phishing Dominio Acshieldportal (.) Com, y una URL de fallas de seguimiento para Acesportal (.) Com», dijo que el actor de amenaza había sido atacado previamente en noviembre de 2024.
La compañía también observó unk_coltcentury, también conocida como TAG-100 y Storm-2077, y dijo que envió correos electrónicos benignos al personal legal de las organizaciones de semiconductores taiwaneses para generar confianza y finalmente proporcionar un acceso remoto a Troyang conocido como Spark Rat.
«Es probable que esta actividad refleje las prioridades estratégicas de China para lograr la autosuficiencia de los semiconductores y reducir la dependencia de las cadenas y tecnologías de suministro internacional, particularmente a la luz de los controles de exportación en los Estados Unidos y Taiwán», dijo la compañía.
«Estos actores de amenazas emergentes continúan demostrando patrones de orientación de larga data consistentes con los intereses nacionales de China, lo que demuestra TTP y capacidades personalizadas históricamente relacionadas con las actividades de ciberdispone desplegadas en China».
El tifón salado persigue la Guardia Nacional de los Estados Unidos
El desarrollo tuvo lugar cuando NBC News informó que Salt Typhoon (también conocido como Earth Stries, Ghost Emperal y UNC2286) había invadido al menos una Guardia Nacional del Estado de EE. UU. Y señaló una expansión de la orientación, lo que resultó en un hacker patrocinado por el estado chino que se rastrea. Se dice que la violación duró más de nueve meses entre marzo y diciembre de 2024.
El 11 de junio de 2025, un informe del Departamento de Defensa de los EE. UU. (DOD) dijo que «es probable que haya proporcionado a Beijing datos que pudieran facilitar la piratería de las unidades de la Guardia Nacional del Ejército en otros estados, y posiblemente socios de ciberseguridad a nivel estatal».
«Salt Typhoon violó ampliamente la red de la Guardia Nacional del Ejército del estado de EE. UU., Recopilando la configuración de la red y el tráfico de datos, entre otras cosas, en redes de contrapartes en todos los demás estados de los Estados Unidos y al menos cuatro territorio de los Estados Unidos».
Los actores de amenaza también descartaron archivos de configuración relacionados con agencias de infraestructura crítica, incluidos otros gobiernos de EE. UU. Y dos agencias gubernamentales estatales, entre enero y marzo de 2024. Ese mismo año, Salt Typhoon aprovechó el acceso a la Red de la Guardia Nacional del Estado del Estado de los Estados Unidos para recopilar mapas de calificaciones de administradores, mapas de tráfico de redes, ubicaciones geográficas geográficas y ubicaciones geografías de PII de PII.
Estos archivos de configuración de red podrían permitir una mayor utilización de redes informáticas en otras redes, como la captura de datos, la manipulación de cuentas de administrador y movimientos laterales entre redes, según el informe.
Se sabe que el acceso inicial está impulsado por la explotación de las vulnerabilidades de seguridad de Cisco conocidas (CVE-2018-0171, CVE-2023-20198 y los electrodomésticos CVE-2023-20273) y Palo Alto (CVE-2024-3400).
«El acceso al tifón de sal a estas redes de la Guardia Nacional del Ejército del Estado incluye información sobre la actitud de defensa cibernética del estado, la información de identificación personal (PII) y la ubicación del personal de seguridad cibernética estatal, datos que se pueden utilizar para informar futuros esfuerzos de ciberforción».
Sócradar Ciso Ensar Seker dijo en un comunicado que el ataque es otro recordatorio de que los sofisticados actores de amenaza persistentes que pueden tener una actitud de seguridad más diversa están persiguiendo a las agencias federales y los componentes a nivel estatal.
«La revelación de que los tifones de sal han mantenido el acceso a la Red de la Guardia Nacional de los Estados Unidos durante casi un año es una escalada grave del dominio cibernético», dijo Seker. «Esta no es solo una invasión oportunista, refleja un espionaje intencional a largo plazo diseñado para extraer silenciosamente la inteligencia estratégica».
«La presencia persistente del grupo sugiere que están reuniendo más que solo archivos. Probablemente estaban mapeando infraestructura, monitoreando el flujo de comunicación, identificando vulnerabilidades que podrían explotarse para uso futuro. Esta actividad ha sido sin detectar en el entorno militar durante mucho tiempo.
Source link
