Negli ultimi mesi, l’industria dei semiconduttori di Taiwan è stata bersaglio di una serie di campagne di spear phishing condotte da tre gruppi di cyber criminali sponsorizzati dallo stato cinese. Queste attività, rilevate tra marzo e giugno 2025, hanno coinvolto aziende attive nella produzione, progettazione e test di semiconduttori, ma anche operatori della supply chain e analisti finanziari specializzati nel settore taiwanese dei chip.

I gruppi responsabili degli attacchi:

I tre cluster identificati sono denominati UNK_FistBump, UNK_DropPitch e UNK_SparkyCarp.

UNK_FistBump ha colpito organizzazioni della filiera del semiconduttore con campagne phishing a tema lavorativo, fingendosi studenti universitari in cerca di occupazione. Il vettore d’attacco sfrutta allegati LNK camuffati da PDF, che, se aperti, avviano catene di infezione per distribuire Cobalt Strike o una backdoor personalizzata chiamata Voldemort. Quest’ultima era già stata utilizzata in attacchi su scala globale e viene attribuita a TA415, noto anche come APT41 e Brass Typhoon, benché le varianti impiegate qui presentino differenze tecniche nel loader e nella gestione del comando e controllo.

UNK_DropPitch si è invece focalizzato su analisti di importanti società d’investimento. Tramite email phishing contenenti link a documenti PDF, i destinatari venivano indotti a scaricare file ZIP con una DLL malevola, eseguita via DLL sideloading. Questa DLL, denominata HealthKick, funge da backdoor capace di eseguire comandi e inviare i risultati a server controllati dagli attaccanti. In altri casi, la stessa tecnica ha attivato una reverse shell TCP per garantire accesso remoto costante agli attaccanti, che potevano installare ulteriori strumenti come Intel EMA e sfruttare infrastrutture SoftEther VPN e certificati TLS già associati a malware cinesi come MoonBounce e SideWalk.

Il terzo gruppo, UNK_SparkyCarp, ha condotto attacchi di phishing mirati alle credenziali di accesso di una società taiwanese del settore, utilizzando kit adversary-in-the-middle per intercettare dati sensibili. In parallelo, è stata osservata la presenza di UNK_ColtCentury, noto anche come TAG-100 o Storm-2077, che ha tentato di instaurare rapporti con personale legale per distribuire il trojan Spark RAT.

Implicazioni e obiettivi strategici

Secondo gli esperti, queste campagne riflettono la priorità strategica della Cina di acquisire autosufficienza nel settore dei semiconduttori, riducendo la dipendenza da tecnologie internazionali, soprattutto alla luce delle restrizioni imposte da Stati Uniti e Taiwan. I metodi utilizzati mostrano una continuità con le tecniche e i comportamenti storicamente associati all’arsenale di cyber spionaggio cinese, compresa la creazione di backdoor personalizzate e l’uso di infrastrutture condivise tra differenti gruppi.