A Proofpoint identificou pelo menos três atores de ameaças alinhados à China visando especificamente organizações taiwanesas dentro da indústria de semicondutores. Segundo o relatório, essas campanhas de phishing provavelmente se alinha com as prioridades econômicas estratégicas internas do país, que têm enfatizado, cada vez mais, a importância desse tipo de tecnologia em sucessivas iniciativas de desenvolvimento econômico nacional, como os Planos Quinquenais.
De acordo com a pesquisa, o foco crescente em garantir a autossuficiência estratégica para tecnologias de semicondutores, acelerado por pressões externas de controles de exportação, provavelmente priorizou, ainda mais, a coleta de inteligência contra essa indústria. Isso incluiu um ator de ameaças alinhado à China, rastreado como UNK_FistBump, visando organizações de design, fabricação e cadeia de suprimentos de semicondutores em campanhas de phishing com tema de emprego, resultando na entrega de Cobalt Strike ou do backdoor personalizado Voldemort.
Além disso, a organização observou outro ator de ameaças alinhado à China, rastreado como UNK_DropPitch, visando indivíduos em várias grandes empresas de investimento que se especializam em análise de capital especificamente dentro da indústria de semicondutores taiwanesa.
Segundo os especialistas, esse ataque do UNK_DropPitch é exemplar das prioridades de coleta de inteligência que abrangem áreas menos óbvias do ecossistema de semicondutores, além de apenas entidades de design e fabricação. Também foi observado um ator rastreado como UNK_SparkyCarp conduzindo atividade de phishing de credenciais contra uma empresa de semicondutores taiwanesa usando um kit de phishing personalizado como Adversary in the Middle (AiTM).
Segundo a Proofpoint, alvos de espionagem tradicionais, como governos, empresas aeroespaciais e de defesa e organizações não governamentais, permaneceram um alvo consistente de atores de ameaças de espionagem alinhados à China nos últimos anos. No entanto, apesar dos relatórios públicos sobre o ataque a semicondutores por agentes de ameaças alinhados à China, só foram observados diretamente ataques esporádicos a este setor no passado. Desde março de 2025, isso mudou, com várias campanhas recentes de diferentes grupos alinhados à China visando especificamente este setor, com uma ênfase particular em entidades taiwanesas.
Como muitos atores de ameaças alinhados à China bem estabelecidos mudaram táticas, técnicas e procedimentos (TTPs) para a exploração de dispositivos de borda e outros vetores de acesso inicial, a Proofpoint observou um influxo de novos clusters alinhados à China no cenário de ameaças de phishing. Esses agentes emergentes continuam a exibir padrões de ataque de longa data consistentes com os interesses do estado chinês, bem como TTPs e capacidades personalizadas historicamente associadas a operações de ciberespionagem alinhadas à China.
