Trois groupes de hackers chinois sont en train d'intensifier leurs attaques contre l'industrie taïwanaise des semi-conducteurs. Une escalade cyber qui est comme le reflet des tensions géopolitiques actuelles.
L'industrie des semi-conducteurs taiwanaise est sous le feu des cyberattaques. Depuis le mois de mars, les experts de Proofpoint ont noté une intensification spectaculaire des opérations de cyberespionnage menées par trois groupes distincts : UNK_FistBump, UNK_DropPitch et UNK_SparkyCarp. Les attaques, sophistiquées, visent tous les maillons de la chaîne industrielle des semi-conducteurs, allant des fabricants aux analystes financiers.
Des pirates déguisés en chercheurs d'emploi
Dans son combat contre le secteur des semi-conducteurs de Taïwan, le groupe UNK_FistBump a mis au point une stratégie assez vicieuse, en se faisant passer pour des étudiants diplômés en recherche d'emploi. Les cybercriminels piratent d'abord des adresses e-mail d'universités taiwanaises réputées, puis utilisent ces comptes compromis pour envoyer de faux CV aux services de ressources humaines des entreprises de semi-conducteurs. Les objets des e-mails semblent anodins. « Ingénieur en ingénierie de remplacement - Université nationale de Taiwan », en est un exemple.
La méthode d'infiltration exploite la confiance naturelle accordée aux institutions académiques. Les candidatures paraissent légitimes, avec des profils détaillés d'étudiants en ingénierie des matériaux, qui postulent pour des postes techniques spécialisés. Sauf que les pièces jointes, présentées comme des CV au format PDF, contiennent en réalité des archives protégées par mot de passe qui déclenchent l'installation de logiciels malveillants sophistiqués.
Le processus d'infection suit alors une double chaîne particulièrement retorse. D'un côté, les pirates déploient Cobalt Strike, un outil de test de pénétration bien connu, détourné à des fins malveillantes. De l'autre, ils utilisent Voldemort, un malware personnalisé lui aussi bien connu, qui communique depuis Google Sheets. La technique permet aux attaquants d'échanger des commandes et de récupérer des données sensibles en passant totalement inaperçus, les communications malveillantes étant camouflées dans un service légitime et couramment utilisé en entreprise.
Les analystes financiers dans le viseur des cyberattaques chinoises
Le groupe UNK_DropPitch, lui, a choisi une approche différente, pourtant tout aussi redoutable, en ce qu'elle cible surtout les analystes financiers de grandes banques d'investissement. Ces spécialistes, experts dans l'évaluation des entreprises taiwanaises de semi-conducteurs, possèdent des informations stratégiques cruciales sur les tendances du marché, les performances financières et les projections d'investissement. Les pirates se font donc passer pour des entreprises fictives comme « Yuanfu Investment Consulting Co., Ltd. » et proposent des collaborations commerciales lucratives.
Les e-mails de phishing imitent parfaitement les communications professionnelles habituelles. Ils consistent en des propositions d'analyse de marché et des rapports d'observation prétendument confidentiels. Une fois l'attention captée, les victimes sont dirigées vers des liens malveillants hébergés sur des services comme Zendesk ou Netlify, qui téléchargent automatiquement des archives contenant des exécutables malveillants. Ces fichiers déploient HealthKick, un backdoor personnalisé qui établit une connexion chiffrée avec les serveurs de commande et contrôle des attaquants.
HealthKick utilise un protocole FakeTLS sophistiqué, capable d'imiter les communications sécurisées standards, tout en dissimulant ses véritables intentions. Le malware communique via le port 465 avec des serveurs hébergés chez des fournisseurs russes, utilisant une double vérification des en-têtes TLS pour compliquer la détection. L'imparable technique révèle une compréhension fine de l'écosystème économique moderne. Et il permet aux pirates d'obtenir une vision globale des investissements et des stratégies financières du secteur.
Une menace persistante aux multiples visages
Le troisième acteur, UNK_SparkyCarp, agit de manière plus directe, ce qui ne l'empêche pas d'être efficace. Son dada, c'est le vol d'identifiants par hameçonnage sophistiqué. Les pirates créent de fausses pages de connexion Microsoft, impossibles à distinguer des originales, pour capturer les mots de passe des employés des entreprises de semi-conducteurs. Cette technique, appelée Adversary-in-the-Middle, permet d'intercepter les communications d'authentification en temps réel, à l'aide de frameworks personnalisés.
Les campagnes d'UNK_SparkyCarp exploitent des domaines comme accshieldportal.com, qui imitent parfaitement les interfaces de sécurité Microsoft. Les employés pensent accéder à leurs comptes professionnels habituels, saisissent leurs identifiants, mais ces derniers sont immédiatement transmis aux attaquants. La méthode permet non seulement d'obtenir un accès initial aux systèmes, mais aussi de compromettre les comptes de messagerie pour mener d'éventuelles attaques ultérieures.
L'ampleur de ces cyberattaques dépasse largement les tentatives sporadiques observées précédemment selon les chercheurs de Proofpoint. Les experts disent constater une coordination manifeste entre différents groupes, chacun étant spécialisé dans une phase particulière de l'infiltration.
La sophistication technique de ces opérations en dit long sur les priorités chinoises du moment, et les tensions entre Taipei et Pékin. L'industrie des semi-conducteurs est un enjeu crucial, surtout avec les contrôles d'exportation américains et taiwanais, qui limitent l'accès de la Chine aux technologies avancées. Les cyberattaques sont ainsi utilisées dans une volonté d'autonomie technologique et de réduction de la dépendance aux chaînes d'approvisionnement internationales, faisant de l'espionnage industriel une véritable arme géopolitique.
