Trois groupes de menaces mènent des attaques de phishing sophistiquées contre les fabricants de puces et les analystes financiers entre mars et juin 2025.
Des pirates chinois parrainés par l’État ont lancé des campagnes d’espionnage sophistiquées contre l’industrie des semi-conducteurs de Taiwan, marquant une escalade spectaculaire des attaques sporadiques aux opérations prodiguées et coordonnées.
Entre mars et juin 2025, trois groupes de menaces distinctes ont été trouvés menant des campagnes d’espionnage coordonnées ciblant les fabricants de puces, les sociétés de la chaîne d’approvisionnement et les analystes financiers pour voler la propriété intellectuelle et l’intelligence du marché essentielle, ont déclaré des chercheurs dans un rapport.
Selon des recherches de la société de cybersécurité, Proofpoint, les campagnes représentent une coordination et une sophistication sans précédent. «Les entreprises ciblées vont des entreprises de taille moyenne aux grandes entreprises mondiales», a déclaré Mark Kelly, chercheur à la menace chez Proofpoint.
Le ciblage s’est étendu au-delà des sociétés traditionnelles de semi-conducteurs pour inclure «des individus dans les grandes sociétés d’investissement internationales spécialisées dans l’analyse des investissements taiwanais des semi-conducteurs», a ajouté Kelly.
La poussée survient alors que la Chine fait face à la pression de montage des contrôles d’exportation des semi-conducteurs américains qui ont limité l’accès de Pékin à la technologie avancée de fabrication de puces. Taiwan accueille les capacités de fabrication des semi-conducteurs les plus avancées au monde, ce qui en fait une cible principale car la Chine cherche l’autosuffisance technologique.
Coordination acteur de la menace avancée
Les experts en sécurité affirment que les campagnes représentent une évolution notable des cyber-opérations chinoises. « Cette escalade marque une forte augmentation de la sophistication et de la concentration par rapport aux campagnes antérieures », a déclaré Ibrahim Saify, chercheur de Cloudsek. «Lorsque les campagnes plus anciennes étaient plus larges, les intrusions d’aujourd’hui sont plus précises, secrètes et alignées sur le programme national de développement des semi-conducteurs chinois.»
Manish Rawat, analyste semi-conducteur chez TechInsights, a souligné la nature coordonnée des attaques. « Plusieurs acteurs de menace liés à l’État chinois ont opéré en parallèle, suggérant une poussée stratégique coordonnée », a-t-il déclaré. « Ce changement signale un passage du vol IP générique vers des intrusions plus précises et axées sur l’homme. »
Une campagne impliquait des pirates qui se faisaient passer pour des étudiants diplômés qui recherchent l’emploi des universités taïwanaises. Les chercheurs ont désigné ce groupe unk_fistbump, qui ciblait les organisations de semi-conducteurs utilisant des leurres d’emploi. « Se faisant passer pour un étudiant diplômé à la recherche d’un emploi, l’acteur a utilisé des adresses e-mail universitaires taïwanaises pour envoyer son e-mail de phishing au recrutement et au personnel des ressources humaines », ont déclaré les chercheurs dans le rapport.
Les attaques ont présenté des lignes d’objet en chinois traditionnels et la campagne d’Unk_Fistbump comportait une approche à double payload, avec une seule archive contenant deux chaînes d’infection – l’une déploiement de la grève de Cobalt et une autre offrant la porte arrière Voldemort personnalisée.
Banques d’investissement dans la réticule
Un deuxième groupe, unk_droppitch, a ciblé l’écosystème financier entourant l’industrie des semi-conducteurs de Taïwan. Ce groupe a mené des campagnes de phishing contre les banques d’investissement, en se concentrant sur des individus spécialisés dans l’analyse des semi-conducteurs taïwanais. Les e-mails de phishing prétendaient provenir de sociétés financières fictives à la recherche d’opportunités de collaboration.
Le troisième groupe, UNK_Sparkycarp, s’est concentré sur la récolte des informations d’identification grâce à des kits de phishing sophistiqués en utilisant des frameworks adversaires personnalisés dans le milieu des sociétés de semi-conducteurs taïwanaises, avec des e-mails se faisant passer pour des avertissements de sécurité de connexion du compte.
Le modèle de ciblage révèle l’approche complète de la collecte de renseignements de la Chine. Rawat a noté que la mise au point de l’espionnage s’étend au-delà des fabricants de puces traditionnels pour inclure «les entreprises de test, les acteurs de la chaîne d’approvisionnement et même les analystes financiers, indiquant une large tentative de cartographie de la chaîne de valeur complète et d’anticiper la dynamique du marché».
Cela représente ce que SAIFY a décrit comme des cyber opérations devenant «un multiplicateur de force – utilisé pour raccourcir les cycles de R&D, reproduire les processus de fabrication avancés et saper les concurrents.»
Concours technologique géopolitique
Le ciblage intensifié reflète l’escalade de la rivalité technologique américaine-chinoise.
«Il y a une« guerre froide »technologique entre les États-Unis et la Chine qui s’est intensifiée avec tous les contrôles des exportations à moins que la Chine d’accéder aux semi-conducteurs», a déclaré Neil Shah, vice-président de la recherche à Counterpoint Research. «Les deux nations veulent être autosuffisantes, car les semi-conducteurs sont le nouveau brut avec l’IA le nouveau pétrole.»
L’administration Biden a imposé des contrôles d’exportation radicaux sur l’accès de la Chine aux semi-conducteurs avancés et à l’équipement de fabrication de puces, créant une pression importante sur la Chine pour développer des alternatives nationales ou acquérir des technologies étrangères par d’autres moyens.
Kelly a noté que «l’activité s’aligne sur les objectifs à long terme de la Chine pour l’autosuffisance des semi-conducteurs qui ont probablement été alimentés par des contrôles internationaux d’exportation.» Les attaques n’étaient pas concentrées dans une région particulière, s’étendant à travers Taiwan.
Recommandations de sécurité de l’entreprise
Les experts en sécurité soulignent que les sociétés de semi-conducteurs doivent repenser fondamentalement leurs approches de cybersécurité. « Les entreprises de l’industrie des semi-conducteurs doivent reconnaître qu’elles sont désormais en première ligne de la cyber-guerre géopolitique », a déclaré Saify.
Rawat a recommandé que les entreprises «évoluent de la cybersécurité traditionnelle basée sur la conformité à une défense proactive et axée sur le renseignement». Il a particulièrement souligné une vigilance accrue dans la surveillance des menaces d’initiés et des plateformes RH, qui sont exploitées par le biais de campagnes de phishing sur le thème de l’emploi.
Les principales mesures défensives comprennent la commission de l’écart entre l’informatique et la sécurité des technologies opérationnelles, le renforcement de la sécurité de la chaîne d’approvisionnement des logiciels et la participation active aux réseaux de partage de renseignement avec des agences gouvernementales et des pairs de l’industrie.
Malgré la nature sophistiquée de ces campagnes, la détection précoce a contribué à limiter leur impact. « Proofpoint a informé toutes les organisations ciblées de cette activité, et nous ne connaissons aucun compromis à la suite de ces campagnes », a déclaré Kelly.
Cependant, la menace reste active et évolutive. Kelly a noté que Proofpoint considère la menace «en cours pour le moment».
L’industrie des semi-conducteurs se retrouve désormais au centre d’un champ de bataille numérique plus large où, comme le dit Shah, «Taiwan se retrouve malheureusement en plein milieu de cette bataille». Alors que les contrôles à l’exportation et la compétition technologique s’intensifient, les professionnels de la cybersécurité s’attendent à ce que ces campagnes d’espionnage sophistiquées continuent à évoluer à la fois dans la portée et la sophistication.
