Phân Tích Chiến Dịch Gián Điệp Mạng Nhắm vào Ngành Bán Dẫn Đài Loan
Giữa tháng 3 và tháng 6 năm 2025, nhóm nghiên cứu mối đe dọa của Proofpoint đã ghi nhận một chiến dịch gián điệp mạng phức tạp, nhiều mặt nhắm mục tiêu vào ngành công nghiệp bán dẫn của Đài Loan. Chiến dịch này được thực hiện bởi ba nhóm tác nhân đe dọa được chính phủ Trung Quốc bảo trợ, định danh là **UNK_FistBump**, **UNK_DropPitch**, và **UNK_SparkyCarp**. Các nhóm này đã tiến hành các hoạt động lừa đảo phối hợp chống lại các tổ chức thuộc nhiều lĩnh vực khác nhau trong chuỗi cung ứng bán dẫn, bao gồm sản xuất, thiết kế, thử nghiệm, các thực thể chuỗi cung ứng, và các nhà phân tích đầu tư tài chính chuyên về thị trường bán dẫn Đài Loan.
Động cơ chính của chiến dịch dường như là thu thập thông tin tình báo nhằm hỗ trợ ưu tiên chiến lược của Trung Quốc trong việc đạt được sự tự chủ về bán dẫn và giảm sự phụ thuộc vào chuỗi cung ứng quốc tế. Hoạt động này trùng khớp với những áp lực bên ngoài ngày càng tăng từ các biện pháp kiểm soát xuất khẩu của Mỹ và Đài Loan, làm nổi bật tầm quan trọng tối thiểu của công nghệ bán dẫn trong các sáng kiến phát triển kinh tế quốc gia của Trung Quốc.
Phân Tích Chi Tiết UNK_FistBump
**UNK_FistBump** nổi lên như tác nhân có kỹ thuật tinh vi nhất trong chiến dịch này. Nhóm này đã thực hiện các chiến dịch lừa đảo giả mạo chủ đề tìm kiếm việc làm, nhắm mục tiêu vào các tổ chức sản xuất, đóng gói, thử nghiệm và chuỗi cung ứng bán dẫn trong suốt tháng 5 và tháng 6 năm 2025. Để tăng cường độ tin cậy, các tác nhân đe dọa đã giả danh sinh viên tốt nghiệp từ Đại học Quốc gia Đài Loan đang tìm kiếm cơ hội việc làm, đồng thời xâm nhập các tài khoản email hợp pháp của trường đại học để liên hệ với bộ phận tuyển dụng và nhân sự.
Phương Thức Lây Nhiễm Ban Đầu
Phương pháp lây nhiễm của nhóm bao gồm việc sử dụng các tệp đính kèm lưu trữ được bảo vệ bằng mật khẩu hoặc các tài liệu PDF chứa URL dẫn đến các tệp được lưu trữ trên các phiên bản Zendesk hoặc dịch vụ chia sẻ Filemail. Trong một sự phát triển chiến thuật bất thường, **UNK_FistBump** ban đầu triển khai các payload **Cobalt Strike Beacon** trước khi chuyển sang backdoor tùy chỉnh **Voldemort** vào cuối tháng 5 năm 2025. Đáng chú ý nhất, một chiến dịch còn có chuỗi lây nhiễm kép trong cùng một tệp lưu trữ, đồng thời phân phối cả payload **Cobalt Strike** và **Voldemort** thông qua các tệp Microsoft Shortcut riêng biệt.
Kỹ Thuật DLL Sideloading Nâng Cao
Phân tích kỹ thuật đã tiết lộ các kỹ thuật **DLL sideloading** tinh vi được **UNK_FistBump** sử dụng. Nhóm này đã lợi dụng các tệp thực thi hợp lệ, có chữ ký nhưng dễ bị tấn công **sideloading**.
Chuỗi lây nhiễm **Cobalt Strike** đã sử dụng một script **VBS** để sao chép các tệp độc hại vào thư mục **C:\Users\Public\Videos**. Sau đó, script này thực thi **javaw.exe** để tải **jli.dll** độc hại, tệp này tiếp tục giải mã một payload **Cobalt Strike Beacon** được mã hóa **RC4** bằng khóa cứng **“qwxsfvdtv”**. Payload này đã giao tiếp với cơ sở hạ tầng tại **166.88.61[.]35** qua cổng **TCP 443** sử dụng một cấu hình C2 linh hoạt được tùy chỉnh dựa trên GoToMeeting.
Chuỗi lây nhiễm **Voldemort** cũng thể hiện sự tinh vi tương tự, sử dụng **CiscoCollabHost.exe** để thực hiện **sideload** **CiscoSparkLauncher.dll**, cuối cùng phân phối backdoor tùy chỉnh sử dụng **Google Sheets** cho các giao tiếp lệnh và kiểm soát (C2). Việc triển khai cụ thể này rất giống với các kỹ thuật đã được gán cho nhóm **TA415** (hay còn gọi là **APT41**, **Brass Typhoon**) trước đây, mặc dù có đủ khác biệt để cần theo dõi riêng.
Phân Tích Chi Tiết UNK_DropPitch
**UNK_DropPitch** đại diện cho một sự khác biệt chiến lược so với việc nhắm mục tiêu truyền thống tập trung vào các nhà sản xuất. Thay vào đó, nhóm này tập trung vào các nhà phân tích đầu tư tài chính tại các ngân hàng lớn chuyên về phân tích thị trường bán dẫn Đài Loan. Hoạt động trong tháng 4 và tháng 5 năm 2025, nhóm này đã giả mạo một công ty đầu tư tài chính hư cấu đang tìm kiếm cơ hội hợp tác.
Phương Thức Lây Nhiễm và Cơ Sở Hạ Tầng
Việc phân phối payload ban đầu của **UNK_DropPitch** liên quan đến backdoor **HealthKick**, một công cụ tùy chỉnh đơn giản sử dụng giao thức **FakeTLS** để giao tiếp với **82.118.16[.]72** qua cổng **TCP 465**.
Phân tích cơ sở hạ tầng của nhóm đã tiết lộ việc sử dụng nhất quán nhà cung cấp máy chủ riêng ảo (VPS) của Nga là ProfitServer, với các tên DNS ngược tham chiếu đến nhân vật Elliot Alderson trong “Mr. Robot”. Nhiều máy chủ thể hiện cấu hình **SoftEther VPN**, một kỹ thuật phổ biến trong giới tác nhân đe dọa Trung Quốc cho cả quản trị cơ sở hạ tầng và tạo đường hầm giao thông. Một phát hiện đặc biệt đáng chú ý là việc xác định một chứng chỉ TLS (**CN=AS.website**) đã từng được liên kết với nhiều hoạt động được chính phủ Trung Quốc bảo trợ, bao gồm backdoor **SideWalk** và rootkit firmware **MoonBounce**.
Phân Tích Chi Tiết UNK_SparkyCarp
Tác nhân thứ ba, **UNK_SparkyCarp**, đã tiến hành các hoạt động lừa đảo thu thập thông tin đăng nhập sử dụng các framework **adversary-in-the-middle (AITM)** tùy chỉnh, nhắm mục tiêu vào các công ty bán dẫn Đài Loan. Các email lừa đảo của nhóm này giả mạo các cảnh báo bảo mật đăng nhập tài khoản, hướng nạn nhân đến tên miền do tác nhân kiểm soát là **accshieldportal[.]com**. Đây là một cách tiếp cận trực tiếp hơn so với các chiến dịch tập trung vào phần mềm độc hại của hai nhóm còn lại.
Ý Nghĩa Chiến Lược và Tầm Quan Trọng
Tác động rộng hơn của hoạt động phối hợp này vượt ra ngoài việc nhắm mục tiêu vào các công ty riêng lẻ. Việc triển khai đồng thời nhiều tác nhân đe dọa với các khả năng riêng biệt cho thấy một chiến lược thu thập thông tin tình báo được dàn dựng kỹ lưỡng, phù hợp với các ưu tiên quốc gia của Trung Quốc. Sự chuyển dịch từ việc nhắm mục tiêu bán dẫn lẻ tẻ sang các chiến dịch đa vector, bền vững cho thấy một sự leo thang trong các hoạt động gián điệp mạng của Trung Quốc chống lại lĩnh vực quan trọng này.
Phân tích của Proofpoint chỉ ra rằng các tác nhân đe dọa mới nổi này tiếp tục thể hiện các mô hình nhắm mục tiêu lâu đời phù hợp với lợi ích của nhà nước Trung Quốc, đồng thời điều chỉnh chiến thuật, kỹ thuật và quy trình (TTPs) của họ cho phù hợp với bối cảnh bảo mật hiện tại. Sự gia tăng của các nhóm lừa đảo mới liên kết với Trung Quốc đại diện cho một sự phát triển đáng lo ngại trong bối cảnh mối đe dọa, đặc biệt khi các tác nhân đã được thiết lập ngày càng chuyển hướng sang khai thác thiết bị biên và các vector truy cập ban đầu thay thế.
Tính chất phối hợp của các chiến dịch này, nhắm mục tiêu vào các khía cạnh khác nhau của hệ sinh thái bán dẫn từ sản xuất đến phân tích tài chính, chứng tỏ các yêu cầu thông tin tình báo toàn diện thúc đẩy các hoạt động mạng được chính phủ Trung Quốc bảo trợ. Cách tiếp cận đa chiều này cho phép thu thập thông tin tình báo trên toàn bộ chuỗi giá trị bán dẫn, từ các thông số kỹ thuật đến động lực thị trường và chiến lược đầu tư.
Các Chỉ Dấu Đe Dọa (Indicators of Compromise – IOCs)
- Địa chỉ IP C2 UNK_FistBump: 166.88.61[.]35
- Khóa giải mã RC4 của Cobalt Strike (UNK_FistBump): qwxsfvdtv
- Địa chỉ IP C2 UNK_DropPitch: 82.118.16[.]72
- Tên miền lừa đảo UNK_SparkyCarp: accshieldportal[.]com
- Chứng chỉ TLS liên quan đến UNK_DropPitch: CN=AS.website
