Ha surgido una sofisticada campaña cibernética patrocinada por el estado del estado dirigida a la industria crítica de semiconductores de Taiwán, empleando balizas de ataque de cobalto armado y tácticas avanzadas de ingeniería social.
Entre marzo y junio de 2025, los actores de múltiples amenazas lanzaron ataques coordinados contra las organizaciones de fabricación de semiconductores, diseño y cadena de suministro, reflejando el imperativo estratégico de China para lograr la autosuficiencia tecnológica en este sector vital.
La campaña representa una escalada significativa en las operaciones cibernéticas chinas contra el ecosistema de semiconductores de Taiwán, con atacantes aprovechando correos electrónicos de phishing con temas de empleo para entregar cargas útiles maliciosas.
El momento de estas operaciones coincide con tensiones geopolíticas aumentadas y controles de exportación continuos que han intensificado el enfoque de China en adquirir tecnologías e inteligencia de semiconductores a través de medios cibernéticos.
El actor de amenaza principal, designado Unk_FistBump, orquestó los ataques más sofisticados técnicamente durante mayo y junio de 2025, específicamente dirigido a los fabricantes de semiconductores con sede en Taiwán y sus socios de la cadena de suministro.
Estas operaciones utilizaron cuentas de correo electrónico de la universidad taiwanesa comprometidas para mejorar la credibilidad y evitar los mecanismos iniciales de detección de seguridad.
Analistas de Probpoint identificado Ese unk_fistbump empleó una estrategia de doble pago, entregando implantes de baliza de ataque de cobalto y una puerta trasera personalizada llamada Voldemort a través de campañas de lanza cuidadosamente elaboradas.
Los atacantes se hicieron pasar por estudiantes de posgrado que buscan oportunidades de empleo, utilizando líneas de asunto como “Ingeniería de productos (análisis de materiales/optimización de procesos) – Universidad Nacional de Taiwán” para atraer al personal de recursos humanos y al personal de reclutamiento.
El mecanismo de infección del malware demuestra una notable sofisticación técnica, comenzando con los archivos RAR protegidos por contraseña que contienen archivos LNK maliciosos.
Tras la ejecución, la descripción de coincidencia del trabajo del archivo LNK.pdf.lnk desencadena un script VBS llamado store.vbs que realiza varias operaciones críticas.
El script copia cuatro archivos esenciales para el directorio C: \ Users \ public \ Videos: javaw.exe, jli.dll, rc4.log y un documento PDF señuelo para mantener la seguridad operativa.
Mecanismos avanzados de Dll Sideloading and Persistence
La cadena de ataque aprovecha las técnicas de respuesta lateral de DLL contra el ejecutable legítimo de Javaw.exe, que carga la biblioteca maliciosa Jli.dll.
Cadenas de infección (fuente – punto de prueba)
Esta DLL sirve como un cargador sofisticado que descifra una carga útil de baliza de Cobalt Strike de Strike cifrada en RC4 almacenada en el archivo RC4.log utilizando la clave codificada QWXSFVDTV.
El proceso de descifrado se puede representar como:-
Rc4_decrypt (rc4.log, “QWXSFVDTV”) → Cobalt Strike Beacon
El malware establece la persistencia a través de la modificación del registro, creando una entrada en HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run que garantiza los lanzamientos ejecutables de Javaw.exe malicioso durante el inicio del sistema.
Cadena de infección unk_droppitch (fuente – PROTEPTOIN)
Posteriormente, el Beacon de Cobalt Strike establece las comunicaciones de comando y control con el servidor 166.88.61 (.) 35 sobre el puerto TCP 443, utilizando un perfil C2 maleable personalizado para combinar el tráfico de red con comunicaciones legítimas de software de colaboración.
Esta campaña subraya el panorama de amenazas en evolución que enfrenta la industria de semiconductores de Taiwán, donde los actores patrocinados por el estado están implementando cada vez más sistemas sofisticados de entrega de malware de varias etapas para comprometer la infraestructura crítica y la propiedad intelectual.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
