هاكرز صينيون يستهدفون قطاع أشباه الموصلات في تايوان باستخدام Cobalt Strike وأبواب خلفية مخصصة
Chinese Hackers Target Taiwan's Semiconductor Sector with Cobalt Strike, Custom Backdoors
إعداد: مايسترو نيرو - قسم الأمن السيبراني
تعرضت صناعة أشباه الموصلات التايوانية لحملات تصيد مستهدفة نفذتها ثلاث مجموعات تهديدات مدعومة من الدولة الصينية.
وفقًا لتقرير شركة Proofpoint، شملت أهداف هذه الحملات مؤسسات متخصصة في تصنيع وتصميم واختبار أشباه الموصلات والدوائر المتكاملة، بالإضافة إلى سلاسل التوريد والكيانات المالية التي تحلل سوق أشباه الموصلات في تايوان.
تفاصيل الحملات والجهات الفاعلة
تمت هذه الأنشطة في الفترة بين مارس ويونيو 2025، وتم نسبها إلى ثلاث مجموعات صينية تُعرف بـ UNK_FistBump وUNK_DropPitch وUNK_SparkyCarp.
مجموعة UNK_FistBump استهدفت شركات تصميم وتغليف وتصنيع أشباه الموصلات عبر حملات تصيد متمركزة حول فرص عمل، حيث ترسل رسائل بريد إلكتروني إلى موظفي التوظيف والموارد البشرية تتضمن سيرة ذاتية مزيفة (ملف LNK يتنكر كملف PDF) عند فتحه يؤدي إلى تحميل أداة Cobalt Strike أو باب خلفي مخصص يسمى Voldemort.
تُعتبر مجموعة Voldemort مرتبطة سابقًا بمجموعة TA415 (المعروفة أيضًا بـ APT41 وBrass Typhoon)، إلا أن النشاط المرتبط بـ UNK_FistBump يُعتقد أنه مختلف من حيث التحميل واعتماد عنوان IP ثابت لخوادم التحكم.
حملة UNK_DropPitch
ركزت هذه المجموعة على أفراد في شركات استثمارية كبرى مختصة في سوق أشباه الموصلات التايواني، حيث أرسلت رسائل تصيد تتضمن رابطًا لملف PDF يقوم عند فتحه بتحميل ملف ZIP يحتوي على مكتبة DLL خبيثة تُستخدم عبر تقنية DLL side-loading.
تُعرف المكتبة الخبيثة باسم HealthKick، وتسمح للمهاجمين بتنفيذ أوامر وجمع نتائجها وتسريبها إلى خادم تحكم، بالإضافة إلى فتح قشرة TCP عكسية للتواصل مع خادم مخصص.
حملة UNK_SparkyCarp
نفذت هذه الحملة هجمات تصيد تعتمد على وسيلة وسط عدائية (Adversary-in-the-Middle) تستهدف شركة تايوانية لأشباه الموصلات باستخدام مجال تصيد خاص يُدعى accshieldportal[.]com، حيث انطلقت الحملة في مارس 2025.
وقد رصدت الشركة أيضًا نشاطًا لمجموعة UNK_ColtCentury (المعروفة أيضًا بـ TAG-100 وStorm-2077)، التي أرسلت رسائل بريد إلكتروني غير ضارة إلى موظفي الشؤون القانونية في شركات أشباه الموصلات بهدف بناء ثقة تسبق تسليم برمجية وصول عن بعد (RAT) تسمى Spark RAT.
الدوافع والتأثير
تعكس هذه الأنشطة الاستراتيجية الصينية لتحقيق الاكتفاء الذاتي في مجال أشباه الموصلات وتقليل الاعتماد على سلاسل التوريد والتقنيات الدولية، خاصة في ظل القيود الأمريكية والتايوانية على التصدير.
وتظهر هذه المجموعات استمرارًا في استهدافها للأهداف ذات الأولوية، مع استخدام تكتيكات وقدرات مخصصة مرتبطة بالتجسس السيبراني المدعوم من الدولة الصينية.
حملة Salt Typhoon على الحرس الوطني الأمريكي
في تطور مرتبط، كشف تقرير عن أن مجموعة Salt Typhoon الصينية اخترقت شبكة الحرس الوطني لولاية أمريكية لمدة تسعة أشهر بين مارس وديسمبر 2024، مستهدفة معلومات حساسة تشمل تكوين الشبكات وبيانات حركة المرور والبيانات الشخصية لأفراد الخدمة.
وقد تم الوصول الأولي عبر استغلال ثغرات معروفة في أجهزة Cisco وPalo Alto Networks، مما يتيح للمهاجمين إمكانية استغلال شبكات أخرى وتحركات جانبية ضمن بيئة الدفاع الفيدرالية والولائية.
تحليل الأثر الأمني
أوضح خبراء أن هذه الحملة تعكس تصاعد خطير في التجسس السيبراني المستمر على الوكالات الحكومية الفيدرالية والولائية، مما يسلط الضوء على نقاط ضعف في مراقبة الأنظمة وسياسات التقسيم والقدرات الكشفية.
إن الاختراق الطويل الأمد يشير إلى جمع معلومات استراتيجية تتجاوز الملفات لتشمل البنية التحتية وأنماط التواصل لتحديد نقاط ضعف مستقبلية.
آخر تحديث: 17 يوليو 2025