Три китайские хакерские группы — UNK_FistBump, UNK_DropPitch и UNK_SparkyCarp — целенаправленно атаковали тайваньские компании полупроводникового сектора с марта по июнь 2025 года. Цель: промышленный шпионаж в стратегически важной отрасли.
UNK_FistBump применяла фишинг под видом студентов, рассылая письма HR-специалистам. Вложения — вредоносные LNK-файлы, маскирующиеся под резюме в PDF. Они внедряли бэкдоры Cobalt Strike или Voldemort, последний ранее использовался группировкой TA415 против 70+ организаций. Уникальность: измененный загрузчик и фиксированный IP C2-сервера.
UNK_DropPitch фокусировалась на финансовых аналитиках, изучающих рынок полупроводников. В апреле-мае 2025 жертвы получали ссылки на PDF, ведущие на ZIP с вредоносной DLL. Через DLL-подмену внедрялся бэкдор HealthKick для сбора данных. К концу мая тактика сменилась: использовался TCP reverse shell на IP
UNK_SparkyCarp атаковала конкретного производителя полупроводников через фишинговые письма с предупреждениями о безопасности. Специальная AitM-платформа перехватывала учетные данные через домены
Четвертая группа, UNK_ColtCentury (TAG-100, Storm-2077), рассылала безвредные письма юристам тайваньских компаний, готовя почву для будущих атак с бэкдором Spark RAT. Контекст: операции отражают стремление Китая к технологической независимости в условиях экспортных ограничений США и Тайваня.
США: данные Нацгвардии под угрозой
Китайская группировка Salt Typhoon (Earth Estries, Ghost Emperor, UNC2286) скомпрометировала Армейскую Национальную гвардию как минимум одного штата США. С марта по декабрь 2024 злоумышленники получили доступ к конфигурациям сетей, данным о взаимодействии с подразделениями во всех штатах и четырех территориях, учетным данным администраторов, схемам трафика, картам локаций и персональным данным военнослужащих.
Ранее, в январе-марте 2024, группа похитила конфигурационные файлы двух госагентств штата и других критических объектов. Для проникновения использовались уязвимости: CVE-2018-0171, CVE-2023-20198, CVE-2023-20273 (Cisco) и CVE-2024-3400 (Palo Alto Networks).
Согласно отчету Пентагона от 11 июня 2025, украденная информация позволяет атаковать другие подразделения Нацгвардии, манипулировать данными и перемещаться по сетям. Особую опасность представляет доступ к киберзащите штатов, PII и дислокации IT-специалистов. Энсар Секер, технический директор SOCRadar, назвал это «серьезной эскалацией» и «долгосрочным шпионажем», подчеркнув риски из-за слабого контроля в гибридных федерально-штатных сетях.
Изображение носит иллюстративный характер
UNK_FistBump применяла фишинг под видом студентов, рассылая письма HR-специалистам. Вложения — вредоносные LNK-файлы, маскирующиеся под резюме в PDF. Они внедряли бэкдоры Cobalt Strike или Voldemort, последний ранее использовался группировкой TA415 против 70+ организаций. Уникальность: измененный загрузчик и фиксированный IP C2-сервера.
UNK_DropPitch фокусировалась на финансовых аналитиках, изучающих рынок полупроводников. В апреле-мае 2025 жертвы получали ссылки на PDF, ведущие на ZIP с вредоносной DLL. Через DLL-подмену внедрялся бэкдор HealthKick для сбора данных. К концу мая тактика сменилась: использовался TCP reverse shell на IP
45.141.139[.]222, а затем инструмент Intel EMA для удаленного контроля через домен ema.moctw[.]info. Инфраструктура включала серверы SoftEther VPN, связанные TLS-сертификатами с вредоносами MoonBounce и SideWalk. UNK_SparkyCarp атаковала конкретного производителя полупроводников через фишинговые письма с предупреждениями о безопасности. Специальная AitM-платформа перехватывала учетные данные через домены
accshieldportal[.]com и acesportal[.]com. Группировка уже атаковала эту же компанию в ноябре 2024 года. Четвертая группа, UNK_ColtCentury (TAG-100, Storm-2077), рассылала безвредные письма юристам тайваньских компаний, готовя почву для будущих атак с бэкдором Spark RAT. Контекст: операции отражают стремление Китая к технологической независимости в условиях экспортных ограничений США и Тайваня.
США: данные Нацгвардии под угрозой
Китайская группировка Salt Typhoon (Earth Estries, Ghost Emperor, UNC2286) скомпрометировала Армейскую Национальную гвардию как минимум одного штата США. С марта по декабрь 2024 злоумышленники получили доступ к конфигурациям сетей, данным о взаимодействии с подразделениями во всех штатах и четырех территориях, учетным данным администраторов, схемам трафика, картам локаций и персональным данным военнослужащих.
Ранее, в январе-марте 2024, группа похитила конфигурационные файлы двух госагентств штата и других критических объектов. Для проникновения использовались уязвимости: CVE-2018-0171, CVE-2023-20198, CVE-2023-20273 (Cisco) и CVE-2024-3400 (Palo Alto Networks).
Согласно отчету Пентагона от 11 июня 2025, украденная информация позволяет атаковать другие подразделения Нацгвардии, манипулировать данными и перемещаться по сетям. Особую опасность представляет доступ к киберзащите штатов, PII и дислокации IT-специалистов. Энсар Секер, технический директор SOCRadar, назвал это «серьезной эскалацией» и «долгосрочным шпионажем», подчеркнув риски из-за слабого контроля в гибридных федерально-штатных сетях.
