中国背景黑客组织协同攻击台湾芯片企业

网络安全公司Proofpoint的研究显示，在2025年3月至6月期间，三个不同的威胁组织对台湾半导体行业发起了协同网络间谍活动。这些攻击针对芯片制造商、供应链公司以及专注于台湾半导体投资分析的金融分析师，旨在窃取关键知识产权和市场情报。

Proofpoint威胁研究员Mark Kelly表示：“目标公司范围从中型企业到大型全球企业不等。“攻击还延伸至"专门从事台湾半导体投资分析的主要国际投资公司的个人”。

高级威胁行为体的协同操作

安全专家指出，这些攻击活动代表了中国网络行动的重大演变。CloudSEK研究员Ibrahim Saify表示：“与早期活动相比，此次升级在复杂性和专注度方面都有显著提升。现在的入侵更加精确、隐蔽，并与中国的国家半导体发展议程保持一致。”

TechInsights半导体分析师Manish Rawat强调了攻击的协同性质：“多个中国国家关联的威胁行为体并行运作，表明这是一个协调的战略推进。这标志着从通用知识产权盗窃转向更精确、以人为重点的入侵。”

UNK_FistBump组织：黑客伪装成台湾大学的求职研究生，使用受损的台湾大学邮箱地址向招聘和人力资源人员发送钓鱼邮件。攻击采用繁体中文主题行，并采用双有效载荷方法，单个存档包含两个感染链——一个部署Cobalt Strike，另一个提供自定义的Voldemort后门。

UNK_DropPitch组织：针对台湾半导体行业的金融生态系统，对投资银行进行钓鱼攻击，专注于专门从事台湾半导体分析的个人。钓鱼邮件伪装成寻求合作机会的虚构金融公司。

UNK_SparkyCarp组织：通过使用自定义中间人框架的复杂钓鱼工具包进行凭证收集，针对台湾半导体公司，邮件伪装成账户登录安全警告。

Counterpoint Research研究副总裁Neil Shah指出：“中美之间正在发生一场技术’冷战’，随着所有出口管制禁止中国获取半导体，这场竞争已经升级。两国都希望自给自足，因为半导体是新的原油，而AI是新的石油。”

拜登政府对中国的先进半导体和芯片制造设备获取实施了全面出口管制，这给中国开发国内替代品或通过其他方式获取外国技术带来了巨大压力。

安全专家强调，半导体公司必须从根本上重新思考其网络安全方法。Saify表示：“半导体行业的企业必须认识到，它们现在处于地缘政治网络战争的前线。”

Rawat建议公司"从传统的基于合规的网络安全转向主动的、情报驱动的防御”。他特别强调要加强对内部威胁和人力资源平台的监控，这些平台正通过就业主题的钓鱼活动被利用。

关键防御措施包括缩小IT和运营技术安全之间的差距，加强软件供应链安全，以及积极参与与政府机构和行业同行的情报共享网络。

尽管这些攻击活动很复杂，但早期检测帮助限制了其影响。Kelly表示：“Proofpoint已通知所有目标组织此活动，我们不知道这些活动导致任何泄露。”

然而，威胁仍然活跃且在不断演变。Kelly指出，Proofpoint认为威胁"目前仍在持续"。随着出口管制和技术竞争的加剧，网络安全专业人员预计这些复杂的间谍活动将在范围和复杂性上继续演变。