Тайвань, являющийся мировым лидером в области производства и разработки полупроводниковых компонентов, оказался в центре масштабной и целенаправленной киберагрессии со стороны сразу нескольких китайских государственно поддерживаемых хакерских групп. Главной целью таких атак стали компании, занимающиеся проектированием, производством, тестированием, а также поставщики оборудования и сервисов, связанных с полупроводниковой отраслью, а также финансовые аналитики, специализирующиеся именно на этом секторе. Активность киберпреступников фиксировалась с марта по июнь 2025 года и выгодно иллюстрирует современные тенденции в сфере кибершпионажа, направленного на получение технологических и коммерческих секретов. В основе данных атак — использование сложных и малоизвестных ранее групп, получивших обозначения UNK_FistBump, UNK_DropPitch и UNK_SparkyCarp. Каждая из этих групп применила собственные уникальные методики, позволяющие обходить традиционные системы защиты и обходить внимание специалистов по безопасности.
Так, группа UNK_FistBump применила метод фишинговых писем на тему трудоустройства, в которых злоумышленники выдавали себя за студентов или соискателей, заинтересованных в работе в профильных компаниях. Под предлогом отправки резюме для устройства на работу, злоумышленники распространяли вредоносные LNK-файлы, маскирующиеся под PDF-документы. При их открытии на компьютер устанавливались инструменты для удаленного управления, в частности, популярный среди хакеров Cobalt Strike или кастомный бэкдор под кодовым названием Voldemort. Важной особенностью была одновременная демонстрация обычного документа с целью не вызвать подозрений у пользователей. Интересным является факт, что использование Voldemort ранее связывали с известной китайской группировкой TA415, обладающей обширным опытом в сфере кибершпионажа и действиями по всему миру.
Однако действия UNK_FistBump отличаются по техническим деталям, что свидетельствует о существовании нескольких независимых, но близких по происхождению и целям киберподразделений. Другой кластер UNK_DropPitch нацелен на инвестиционных аналитиков и специалистов крупных финансовых компаний, имеющих глубокое понимание полупроводниковой индустрии Тайваня. С помощью фишинговых писем с вложенными PDF-файлами, внутри которых содержались ссылки на ZIP-архивы, запускавшие вредоносные DLL через технику DLL side-loading, хакеры устанавливали бэкдор под названием HealthKick. Этот инструмент позволял запускать команды на зараженных компьютерах и передавать данные на серверы управления. Особую опасность представлял и TCP обратный шелл, разрешавший злоумышленникам получить полный контроль над системами жертв и производить глубокий сбор разведывательной информации.
В некоторых случаях после первоначального проникновения устанавливалось дополнительное вредоносное ПО Intel Endpoint Management Assistant для дальнейшего контроля над устройствами. Эти атаки демонстрируют стремление хакеров не ограничиваться лишь производственными компаниями, но и проникать в смежные сферы, влияющие на стратегическое понимание рынка и финансовых потоков, что повышает эффективность их шпионской деятельности. Поддержка атак также обеспечивается через инфраструктуру, содержащую VPN-серверы SoftEther — популярное среди китайских атакующих решение для обеспечения анонимности и обхода сетевых фильтров. Дополнительным подтверждением связи с Китаем было обнаружение повторного использования TLS-сертификатов, ранее замеченных в деятельности других известных вредоносных семейств, таких как MoonBounce и SideWalk, что косвенно указывает на координацию и возможное разделение ресурсов внутри киберсообщества Китая. Группа UNK_SparkyCarp примечательна применением уникального инструментария для перехвата учетных данных с использованием собственного пакета атак «adversary-in-the-middle», а также целенаправленных фишинговых кампаний с жалобами от имени систем безопасности аккаунтов.
Это указывает на высокий уровень технического мастерства и адаптацию методов под конкретные нужды угрозы. Кроме того, специалисты отметили другой государственный коллектив, UNK_ColtCentury (известный также как TAG-100 и Storm-2077), который пытался посредством построения доверия отправлять законоподобные письма юридическим департаментам и затем доставлять троян Spark RAT для удаленного доступа. По оценкам аналитиков, в этих кампаниях участвовали от пятнадцати до двадцати организаций различного масштаба — от средних до глобальных лидеров рынка. Несмотря на активные атаки, пока не зарегистрировано успешных проникновений и компрометации данных, что свидетельствует о своевременной реакции и защите субъектов, но также подчеркивает необходимость усиления кибербезопасности. Подобная активность полностью укладывается в стратегические приоритеты Китая, направленные на достижение технологической независимости и преодоление ограничений, наложенных счёт экспортных контролей США и Тайваня на передовые полупроводниковые технологии.
Эти кибератаки — яркое свидетельство того, что в современном мире высоких технологий борьба за лидерство не ограничивается только традиционными методами, но ведется также на цифровом фронте. Наряду с воздействием на Тайвань, в сфере национальной безопасности США также наблюдаются серьезные инциденты, связанные с китайскими киберпреступниками. Информация о деятельности группы Salt Typhoon, которая в течение почти года беспрепятственно находилась в сети одного из национальных гвардейских подразделений США, подчеркивает растущую угрозу гибридным атакам на государственные структуры и критическую инфраструктуру. Эксплуатация известных уязвимостей в сетевом оборудовании и программном обеспечении, таких как в устройствах Cisco и Palo Alto Networks, облегчала злоумышленникам нелегальный доступ к внутренним системам и позволяла собирать служебные данные, планы сети и персональную информацию сотрудников. Эти инциденты вызывают глубокую обеспокоенность экспертов по безопасности относительно готовности и устойчивости государственных органов и подчеркивают необходимость комплексного пересмотра стратегий киберзащиты, внедрения современных средств обнаружения вторжений и пересмотра архитектуры сетей.
Суммируя, можно сказать, что кибератаки на тайваньскую полупроводниковую отрасль и государственные структуры США демонстрируют высокую организационную и техническую подготовленность китайских государственных хакерских групп, готовых использовать самые передовые инструменты и методики для достижения своих целей. В ответ компании и государства должны фокусироваться на развитии кибероборонных возможностей, обучении персонала и постоянном мониторинге угроз, чтобы успешно противостоять новым вызовам в цифровом пространстве.
