台湾作为全球半导体制造与设计的领先中心,其产业链的安全稳定对全球技术发展具有举足轻重的影响。然而,2025年上半年,一系列针对该地区半导体企业和相关投资分析师的网络攻击活动逐渐浮出水面。这些攻击被归因于多支与中国国家利益高度关联的网络威胁团队,它们利用先进的攻击工具如Cobalt Strike和独特的定制后门对台湾半导体生态发动持续的侵扰和监控。首先,针对该产业设计、封装制造以及供应链核心环节的攻击,主要通过模拟毕业生求职邮件的钓鱼手段展开。攻击者利用看似正规的邮件发送含有伪装成PDF的LNK文件简历,诱导人力资源及招聘人员点击。一旦受害者打开文件,便触发多阶段恶意载荷的下载和执行,攻击链最终植入Cobalt Strike或名为Voldemort的C语言编写的后门程序。
Voldemort后门此前已被全球70余个组织的网络攻击中检测到,显示其高超的持续攻击能力。此类攻击不仅展现出技术上的精细,也反映出攻击者深谙目标内部运作和心理,利用求职邮件这一看似无害却极具针对性的载体绕过防御机制。证明这一行动的中国黑客团伙之一是UNK_FistBump,他们独立于此前著名的APT41及TA415组织,尽管共享某些恶意程序和TTP模式,但其使用的攻击载体以及C2服务器的硬编码IP地址显示出差异,暗示复杂多元的背后网络结构。其次,投资分析师成为攻击焦点,尤其是专注于台湾半导体市场的顶级投资机构。该类攻击由UNK_DropPitch团队发动,手法独到且隐匿性高。攻击邮件内嵌PDF链接,点击后下载携带恶意DLL文件的压缩包,恶意DLL通过DLL侧加载技术运行,避开传统检测。
该DLL功能丰富,被称为HealthKick后门,具备远程命令执行、结果收集以及数据外泄等功能。此外,最新观察到的变种甚至启动基于TCP的反向Shell连接,给予攻击者更宽泛的横向渗透和数据窃取能力。攻击者进一步利用SoftEther等开源VPN搭建隐蔽C2基础设施,技术成熟且善于掩盖源头。团队还利用重复使用的TLS证书进一步将活动与历史上的MoonBounce、SideWalk等知名恶意软件家族关联,但目前仍难断定是否为同一恶意软件家族或共享基础设施的多股力量。第三股重要威胁团伙为UNK_SparkyCarp,他们发起针对特定台湾半导体企业的凭证钓鱼攻击。通过伪装成账户登录安全警告的钓鱼邮件,诱导受害者访问受控的钓鱼网站,进行中间人攻击以窃取登录凭证。
该团伙曾在2024年末针对同一企业发动攻击,累积了相当的攻击经验和目标信息。此外,另一个值得关注的团队UNK_ColtCentury(又称TAG-100及Storm-2077)则采用信任建立战略,发送貌似无害的邮件给法律部门,最终植入名为Spark RAT的远程访问木马,为日后深度渗透奠定基础。据专业安全公司Proofpoint统计,参与这场针对台湾半导体产业的攻击行动的受害企业涵盖从中型企业到全球大型企业,涉及产业链制造、设计及金融投资分析等多个环节,总计影响范围广泛。迄今为止,几乎所有受攻击企业均已获得告知,并未传出因该系列攻击而实际发生数据泄露的证据,反映出受害方具备一定的防护和响应能力,但潜在风险依然严重。台湾半导体产业遭受中国支持的网络攻击,映射出更宏观的国际战略背景。随着美中贸易关系紧张升级,美国及台湾实施多项半导体出口限制,中国力图通过网络情报行动减少对海外技术和供应链的依赖,实现技术自给自足。
此次攻击正体现了中国政府长期以来通过网络手段收集经济和军事技术情报的战略意图。更广泛地看,此类攻击展示了中国网络安全势力多样化及渐进升级的复杂态势。不同团体协同作战,利用经济学、社会工程学以及先进技术手段,实现情报收集和产业打击双重目标。攻击基础设施复杂,涵盖多个国家及地区,有效利用现成漏洞和协议缺陷进行隐秘渗透。除台湾半导体产业外,业内人士也关注类似手法已被运用至其他关键经济和防务领域,展现出跨国界、跨行业的网络攻击趋势。与此同时,美国国家防务机构也频繁遭受中国黑客组织Salt Typhoon的侵扰,显示出广泛的网络监控和渗透活动。
Salt Typhoon针对美国多个州国民警卫队网络进行了长达数月的潜伏,窃取大量网络配置和人员信息,为未来潜在的网络行动铺路。类似事件提示全球关键基础设施所面临的多维网络威胁难度不断提升。针对当前威胁,台湾及国际安全社区不断加强协作,深化对攻击链及战术工具的分析,实现威胁情报共享和快速响应。加强员工网络安全意识培训,强化邮件过滤及多层防御机制,成为防范钓鱼及供应链攻击的关键。同时,强化终端监控、漏洞修补和C2通信检测亦被视为提升整体防护水平的重要手段。行业必须同时应对技术复杂和社会工程风险双重挑战,建立起以威胁情报为引导的综合防御体系。
此外,政府间合作与政策协调在抵御国家级网络威胁中发挥不可替代的作用。企业和机构应积极参与跨国界网络安全联盟,利用先进的安全产品及服务抵御APT组织的持续攻击。随着人工智能和自动化技术普及,网络攻击的复杂性和隐匿性将更上一层楼,全球半导体产业及关键基础设施面临的风险将会更加严峻。总结来看,中国国家支持的黑客组织通过精心策划的钓鱼攻击和高级恶意软件工具,正持续威胁台湾半导体产业的网络安全。这不仅是技术层面的较量,更是围绕全球技术霸权与供应链控制权展开的国家战略竞赛。唯有多方协同、技术创新与政策支持并举,才能有效遏制此类高端网络威胁,保障半导体产业链的安全稳健发展。
。
