كشفت شركة Proofpoint عن حملات تصيّد موجهة (Spear-Phishing) تشنّها ثلاث مجموعات تهديد مدعومة من الحكومة الصينية، استهدفت قطاع أشباه الموصلات في تايوان، بما في ذلك كيانات التصنيع والتصميم والاختبار، وسلسلة الإمداد، والمحللين الماليين المختصين بهذا القطاع.
وبحسب التقرير الصادر الأربعاء، فإن هذه الأنشطة وقعت بين مارس ويونيو 2025، ونُسبت إلى ثلاث مجموعات تهديد صينية تُتابع تحت أسماء UNK_FistBump وUNK_DropPitch وUNK_SparkyCarp.
تصميم وتصنيع وتغليف أشباه الموصلات عبر حملات تصيّد ذات طابع توظيفي
UNK_FistBump ركزت على شركات تصميم وتصنيع وتغليف أشباه الموصلات عبر حملات تصيّد ذات طابع توظيفي، أدّت إلى زرع أدوات مثل Cobalt Strike أو باب خلفي مخصص بلغة C يُعرف باسم Voldemort، سبق استخدامه ضد أكثر من 70 مؤسسة عالميًا. تعتمد سلسلة الهجوم على انتحال هوية طالب دراسات عليا يتواصل عبر البريد الإلكتروني مع أقسام الموارد البشرية، مرفقًا بسيرة ذاتية مزيفة (ملف LNK يظهر كأنه PDF)، يؤدي فتحه إلى تنفيذ تسلسل معقد ينتهي بتنفيذ الكود الخبيث، فيما يُعرض ملف وهمي للتمويه.
وقد ربطت Proofpoint استخدام باب Voldemort بمجموعة TA415 التي تتداخل مع مجموعة APT41 المعروفة باسم Brass Typhoon، لكنها أشارت إلى أن النشاط المرتبط بـ UNK_FistBump يبدو منفصلًا بسبب اختلاف في أدوات التحميل وعناوين IP الثابتة المستخدمة في الاتصال بخوادم التحكم.
أما مجموعة UNK_DropPitch فقد استهدفت محللي استثمار في شركات كبرى تركز على سوق أشباه الموصلات التايواني، من خلال رسائل تصيّد تتضمن روابط لملفات PDF، تقوم عند فتحها بتحميل ملف ZIP يحتوي على DLL خبيث يُنفذ باستخدام تقنية DLL side-loading. هذا الباب الخلفي المعروف باسم HealthKick يمكنه تنفيذ أوامر وسرقة نتائجها وإرسالها إلى خادم تحكم عن بعد (C2). وفي هجوم لاحق نهاية مايو، استخدم نفس الأسلوب لإنشاء قناة اتصال عكسي (Reverse Shell) عبر بروتوكول TCP مع خادم VPS يقع عند العنوان 45.141.139[.]222.
وتسمح هذه القناة للمهاجمين بإجراء استطلاع أولي، وفي حال كانت الجهة مستهدفة ذات أهمية، يتم تحميل أداة الإدارة البعيدة Intel EMA للتواصل مع النطاق الخبيث “ema.moctw[.]info”. ووصفت Proofpoint هذا الاستهداف بأنه يعكس أولوية استخباراتية تشمل جوانب غير تقليدية في منظومة أشباه الموصلات.
خادمين قد تم تهيئتهما كخوادم VPN باستخدام SoftEther
وأظهرت تحليلات البنية التحتية للمهاجمين أن خادمين قد تم تهيئتهما كخوادم VPN باستخدام SoftEther، وهي أداة مفتوحة المصدر شائعة بين المجموعات الصينية. كما تم رصد استخدام شهادة TLS سبق ربطها بعائلات برمجيات خبيثة مثل MoonBounce وSideWalk، ما يعزز فرضية تقاسم البنية التحتية أو أدوات الهجوم بين جهات تهديد صينية متعددة.
أما المجموعة الثالثة، UNK_SparkyCarp، فقد نفذت هجمات تصيّد لسرقة بيانات اعتماد الدخول من إحدى شركات أشباه الموصلات التايوانية، عبر مجموعة أدوات AitM مخصصة، ضمن حملة رُصدت في مارس 2025. الرسائل التنكرية كانت تبدو كتحذيرات أمنية، تتضمن رابطًا إلى موقع خبيث يديره المهاجمون، إضافة إلى روابط تعقب مخفية. وقد استهدفت نفس الشركة في حملة سابقة بنوفمبر 2024.
كما رُصدت مجموعة UNK_ColtCentury (المعروفة أيضًا باسم TAG-100 أو Storm-2077) ترسل رسائل غير ضارة إلى موظفين قانونيين بهدف كسب الثقة تمهيدًا لنشر أداة الوصول Spark RAT.
وقال الباحث الأمني مارك كيلي إن الحملة استهدفت ما بين 15 إلى 20 منظمة من متوسطة إلى كبرى، وقد تم إعلامها جميعًا، دون رصد اختراق مؤكد حتى الآن.
وترى Proofpoint أن هذه الأنشطة تعكس أولوية استراتيجية لدى الصين لتحقيق الاكتفاء الذاتي في قطاع أشباه الموصلات وتقليل الاعتماد على التقنيات وسلاسل الإمداد الدولية، خاصة في ظل القيود المفروضة من الولايات المتحدة وتايوان.
Salt Typhoon تستهدف الحرس الوطني الأمريكي
في سياق موازٍ، كشفت NBC News عن اختراق نفذته مجموعة Salt Typhoon المدعومة من الصين (المعروفة أيضًا باسم Earth Estries وGhost Emperor وUNC2286) استهدف أحد فروع الحرس الوطني الأمريكي، واستمر لمدة لا تقل عن تسعة أشهر بين مارس وديسمبر 2024.
وأفاد تقرير صادر عن وزارة الدفاع الأمريكية في 11 يونيو 2025 أن الهجوم قد مكّن الصين من الوصول إلى بيانات من شأنها تسهيل اختراق وحدات حرس وطني أخرى، وربما أيضًا شركاء الأمن السيبراني على مستوى الولايات.
وبحسب التقرير، اخترقت المجموعة إعدادات الشبكة وبيانات حركة المرور بين الولايات، إضافة إلى وكالات حكومية أمريكية، ونجحت في استخراج بيانات حساسة مثل بيانات اعتماد المسؤولين، ومخططات الشبكات، ومعلومات تحديد المواقع الجغرافية، والبيانات الشخصية لأفراد الخدمة.
وقد استغل المهاجمون ثغرات معروفة في معدات Cisco (CVE-2018-0171 وCVE-2023-20198 وCVE-2023-20273) وPalo Alto Networks (CVE-2024-3400) للوصول الأولي.
ووفقًا لـ Ensar Seker، مسؤول الأمن السيبراني في SOCRadar، فإن هذا الهجوم يمثل تصعيدًا خطيرًا في مجال التجسس السيبراني طويل الأمد، خاصة بالنظر إلى قدرة المهاجمين على البقاء داخل بيئة عسكرية طوال هذه الفترة دون كشف.
