Secondo i ricercatori di sicurezza informatica di Proofpoint, diversi gruppi di hacker sponsorizzati dallo Stato cinese stanno coordinando una serie di attacchi contro il settore dei semiconduttori a Taiwan. Le vittime includono aziende coinvolte nella produzione, nella catena di fornitura e nell’analisi finanziaria degli investimenti legati ai chip.
Nello specifico, gli esperti hanno identificato almeno tre gruppi attivi nella campagna, denominati UNK_FistBump, UNK_DropPitch e UNK_SparkyCarp. Anche se in certi casi i nomi possono variare a seconda del fornitore di sicurezza, queste entità sembrano rappresentare nuovi attori nel panorama del cybercrimine, con tattiche coordinate e finalità legate a interessi geopolitici strategici.
Quarto gruppo all’attacco
Secondo i ricercatori di Proofpoint, le tecniche, tattiche e procedure (TTP) utilizzate in questa nuova ondata di attacchi sono in parte diverse da quelle osservate in passato, il che fa pensare all’entrata in scena di nuovi gruppi. Gli attacchi si sono verificati tra marzo e giugno di quest’anno, prendendo di mira organizzazioni coinvolte nella produzione, progettazione e test di semiconduttori e circuiti integrati, ma anche aziende appartenenti alla filiera di attrezzature e servizi del settore, oltre a analisti finanziari specializzati nel mercato taiwanese dei semiconduttori.
I gruppi responsabili utilizzano strumenti e approcci differenti. L’accesso iniziale avviene quasi sempre tramite email di phishing, ma il tipo di malware e le modalità di distribuzione cambiano da gruppo a gruppo. Tra gli strumenti impiegati in questa campagna figurano Cobalt Strike, Voldemort (una backdoor personalizzata scritta in C) e HealthKick (una backdoor in grado di eseguire comandi), insieme ad altri strumenti meno noti.
Proofpoint ha inoltre identificato un quarto gruppo denominato UNK_ColtCentury (conosciuto anche come TAG-100 e Storm-2077), che ha adottato un approccio più mirato: ha cercato di instaurare un rapporto di fiducia con le vittime prima di infettarle con un malware. In questo caso, l’obiettivo era diffondere un trojan ad accesso remoto chiamato Spark.
Secondo i ricercatori, questa attività riflette la priorità strategica della Cina di raggiungere l’autosufficienza nella produzione di semiconduttori e di ridurre la dipendenza da catene di approvvigionamento e tecnologie esterne, soprattutto alla luce delle restrizioni all’export imposte da Stati Uniti e Taiwan. I gruppi individuati mostrano schemi di attacco coerenti con gli interessi statali cinesi, utilizzando TTP e strumenti personalizzati tipici delle operazioni di cyberspionaggio legate a Pechino.
Negli ultimi anni, la Cina ha intensificato la pressione su Taiwan, dichiarando più volte la volontà di “riunificare” l’isola e svolgendo esercitazioni militari nelle sue vicinanze.
Via The Hacker News