Tra marzo e giugno 2025, i ricercatori di Proofpoint hanno osservato tre attori di minaccia sponsorizzati dallo stato cinese condurre campagne di phishing mirate contro l’industria taiwanese dei semiconduttori. In tutti i casi, il movente era molto probabilmente lo spionaggio.
I bersagli di queste campagne spaziavano da organizzazioni coinvolte nella produzione, progettazione e test di semiconduttori e circuiti integrati, a entità più ampie della catena di approvvigionamento di attrezzature e servizi, nonché ad analisti di investimenti finanziari specializzati nel mercato taiwanese dei semiconduttori.
Questa attività riflette probabilmente la priorità strategica della Cina di raggiungere l’autosufficienza nei semiconduttori e diminuire la dipendenza dalle catene di approvvigionamento e dalle tecnologie internazionali, in particolare alla luce dei controlli sulle esportazioni da parte di Stati Uniti e Taiwan.
Settore dei semiconduttori a rischio cyberspionaggio: l’analisi di Proofpoint
Il report ha evidenziato questi elementi principali:
- Campagne che coprono l’intero ecosistema dei semiconduttori, dalla produzione di base all’analisi finanziaria specializzata, a indicare un mandato completo di raccolta di informazioni.
- Attori di minaccia che sfruttano esche a tema occupazionale, proposte di collaborazione fittizie e phishing di credenziali, spesso utilizzando account universitari compromessi o framework personalizzati Adversary-in-the-Middle (AiTM).
- Implementazione di backdoor personalizzate come Voldemort e HealthKick, insieme all’uso di strumenti legittimi per la persistenza e l’accesso remoto, a dimostrazione della capacità di adattamento da parte di questi gruppi.
- Schemi di infrastruttura condivisi, incluso l’utilizzo di provider VPS russi e server VPN SoftEther, a indicare ulteriormente la sicurezza operativa di questi gruppi sostenuti dallo stato.
L’evoluzione della campagna
Cybercriminali allineati alla Cina prendono sistematicamente di mira il settore dei semiconduttori da molti anni. Questa attività è probabilmente in linea con le priorità economiche strategiche interne della Cina, che hanno sempre più enfatizzato l’importanza delle tecnologie dei semiconduttori in successivi piani di sviluppo economico nazionale, come i Piani Quinquennali.
Ciò si riflette nell’attività di spionaggio allineata alla Cina tracciata dal team di ricerca sulle minacce di Proofpoint, dove sta attualmente osservando un focus più marcato che in passato da parte di gruppi allineati alla Cina.
È stato individuato un attore allineato alla Cina, tracciato come UNK_FistBump, che prendeva di mira organizzazioni di progettazione, produzione e catena di approvvigionamento di semiconduttori in campagne di phishing a tema occupazionale, con conseguente distribuzione di Cobalt Strike o della backdoor personalizzata Voldemort.
Inoltre, Proofpoint ha osservato un altro attore, UNK_DropPitch, che prendeva di mira individui in diverse importanti società specializzate nell’analisi degli investimenti del settore, target che evidenzia le priorità di raccolta di informazioni in aree meno ovvie dell’ecosistema dei semiconduttori. Infine, è stato osservato un attore tracciato come UNK_SparkyCarp condurre attività di phishing delle credenziali, utilizzando un kit di phishing Adversary in the Middle (AiTM) personalizzato.
I semiconduttori di Taiwan al centro degli attacchi
Nella telemetria di Proofpoint, i bersagli tradizionali dello spionaggio, come governi, aziende aerospaziali e di difesa e organizzazioni non governative sono rimasti un obiettivo costante degli attori di spionaggio allineati alla Cina negli ultimi anni. Tuttavia, nonostante le segnalazioni pubbliche sul targeting dei semiconduttori, in passato Proofpoint ha osservato solo attività sporadiche in questo settore. Da marzo 2025, la situazione è cambiata, con molteplici campagne recenti da parte di diversi gruppi allineati alla Cina che lo hanno colpito, con una particolare enfasi sulle entità taiwanesi.
Poiché molti attori di minaccia allineati alla Cina ben consolidati hanno modificato tattiche, tecniche e procedure (TTP) verso lo sfruttamento di dispositivi edge e altri vettori di accesso iniziale, Proofpoint ha osservato un afflusso di nuovi cluster allineati alla Cina nel panorama delle minacce di phishing. Questi attori emergenti continuano a mostrare modelli di targeting di lunga data coerenti con gli interessi statali cinesi, nonché TTP e capacità personalizzate storicamente associate alle operazioni di cyberspionaggio allineate alla Cina.
Dichiarazioni
I ricercatori di Proofpoint spiegano: “Una crescente attenzione a garantire l’autosufficienza strategica per le tecnologie dei semiconduttori, accelerata dalle pressioni esterne dei controlli sulle esportazioni, ha probabilmente prioritizzato ulteriormente la raccolta di informazioni in questo specifico settore”.
