Campagne cinesi con backdoor custom e framework AiTM colpiscono la filiera dei semiconduttori taiwanesi. L’obiettivo è lo spionaggio industriale per appropriarsi di know-how e informazioni strategiche.
Autore: Redazione SecurityOpenLab
Attaccanti sponsorizzati dallo stato cinese stanno attuando campagne di spionaggio altamente sofisticate, con framework personalizzati Adversary-in-the-Middle (AiTM) e backdoor su misura, per colpire il mercato taiwanese dei semiconduttori. Questa realtà, emersa dall’ultima ricerca condotta da Proofpoint, getta nuova luce sulle modalità avanzate e l’orchestrazione con cui i threat actor in questione prendono di mira l’intera filiera di produzione, ricerca, investimento e fornitura del settore dei semiconduttori di Taiwan.
Le motivazioni di questa condotta sono facili da dedurre: i semiconduttori rappresentano il cuore dell’economia digitale contemporanea e sono la spina dorsale di qualunque settore industriale strategico, dall’automotive alle telecomunicazioni, dall’AI all’industria militare. Taiwan, con aziende leader come per esempio TSMC, svolge un ruolo di grande rilievo nella produzione di microchip avanzati.
Attaccanti sponsorizzati dalla Cina prendono sistematicamente di mira il settore dei semiconduttori da molti anni per sostenere i piani cinesi di autonomia tecnologica sul lungo periodo, in modo da ridurre la dipendenza dalle forniture estere e non subire strozzature dalla politica internazionale, come quelle imposte dall’amministrazione Trump. In questo scenario fiorisce il cyberspionaggio finalizzato alla sottrazione di proprietà intellettuale, know-how, informazioni su processi produttivi e piani economici.
Tra marzo e giugno 2025 Proofpoint ha osservato un salto di qualità nella frequenza, nella complessità e nell’ampiezza delle campagne condotte da almeno tre diversi gruppi sponsorizzati dalla Cina. Uno degli elementi distintivi delle attività in questione è la capacità di coprire l’intero ecosistema dei semiconduttori: ad essere colpiti sono laboratori di sviluppo, aziende incaricate dei test, tutta la supply chain di attrezzature e servizi, finanche gli analisti finanziari che monitorano le performance delle società del settore.
Sul fronte delle esche, spesso sono stati utilizzati account di università locali compromessi per veicolare agli obiettivi prescelti finti curriculum, finte proposte di lavoro, colloqui apparentemente legittimi per collaborazioni. L’obiettivo è convincere i destinatari ad aprire allegati o cliccare su link che innescano catene di infezione multipla.
Nella primavera del 2025, i ricercatori di Proofpoint hanno tracciato l’attività di UNK_FistBump, uno dei threat actor più attivi, che ha orchestrato campagne di spearphishing personalizzate su soggetti taiwanesi coinvolti nella produzione e nella supply chain. Gli attaccanti si fingevano giovani laureandi in cerca di lavoro e spedivano email dalle caselle universitarie con allegati che nascondevano diversi payload. Fra questi, il grande classico Cobalt Strike Beacon utilizzato per le comunicazioni con i server di comando e controllo e i movimenti laterali, oppure la backdoor Voldemort, che è un malware custom che per l’esfiltrazione si appoggia a Google Sheets (quindi infrastrutture cloud legittime) per eludere le soluzioni di detection.
L’uso della backdoor Voldemort rivela una conoscenza approfondita delle TTP cinesi messe in atto da alcuni APT ben noti quali quello monitorato con la sigla TA415 (noto anche come APT41 o Brass Typhoon), rispetto al quale gli analisti hanno rilevato diverse analogie.
Ci sono poi campagne attribuite al gruppo UNK_DropPitch che hanno preso di mira analisti di investimento specializzati nel settore e impiegati presso alcune delle principali banche d’investimento. In questo caso le email esca propongono collaborazioni da parte di società di consulenza finanziaria, e portano all’installazione della backdoor custom HealthKick che si distingue per l’uso di un protocollo FakeTLS. In pratica, la comunicazione sfrutta un header TLS 1.2 apparentemente legittimo seguito da un payload cifrato per mascherare il traffico malevolo come normale scambio cifrato SSL.
Fra le tecniche più innovative a livello di phishing è interessante l’attività di un altro threat actor denominato UNK_SparkyCarp, che usa framework AiTM (Adversary-in-The-Middle) personalizzati per intercettare in tempo reale le informazioni inserite dalle vittime su portali online falsi, in modo da aggirare i sistemi MFA. Non ultimo, gli attaccanti hanno fatto ampio abuso di strumenti legittimi servizi cloud noti (Zendesk, Google Sheets, Filemail, Netlify). Tutti i dettagli tecnici e gli IoC sono online sulla pagina web della ricerca Proofpoint.