4個中國APT組織攻擊台灣半導體產業,威脅行為者利用網路攻擊來破壞和擾亂台灣最重要的工業部門
台灣的半導體產業是全球地緣政治上最重要的產業之一,它遠不止於創造收入,更是全球各種技術供應鏈中一個獨特且目前不可取代的齒輪。這使得台灣的繁榮—以及中國共產黨試圖接管台灣的目標—對其他國家至關重要,尤其是美國。
一、事件背景與重要性
台灣半導體產業為全球關鍵核心供應鏈,影響深遠。根據 Proofpoint 資安研究,2025 年 3 至 6 月期間,至少有四支中國關聯的 APT(Advanced Persistent Threat,高階持續攻擊組織)對台灣晶片製造、封裝測試、供應鏈單位及產業分析師發動網路攻擊,手法為高度定向的 spear‑phishing,以及夾帶惡意的 PDF 或加密壓縮檔,重點鎖定台灣整體半導體價值鏈 。該攻擊具高度地緣政治目的,明顯與中國達成「半導體自主」與降低對外依賴的戰略布局相關,並配合美台出口管制的國際政策背景 。
二、攻擊組織與技術工具
Proofpoint 將這四支 APT 依代號命名為 UNK_FistBump、UNK_DropPitch、UNK_SparkyCarp 及 UNK_ColtCentury(後者亦被稱為 TAG‑100 或 Storm‑2077)。
UNK_FistBump:最早使用偽裝成研究生的電子郵件誘使目標開啟 PDF 檔,內含 Cobalt Strike 部署載具,再植入自製後門「Voldemort」,其 C2(指揮控制)透過 Google Sheets 操作,顯示其高階定向特徵 。
UNK_DropPitch 與 UNK_SparkyCarp:二者採用相似社交工程陷阱及 spear‑phishing 技術,以訂製 RAR 具加密保護之檔案夾搭載惡意程式攻擊。
UNK_ColtCentury/TAG‑100:採取更複雜社交接觸方式,長期經營信任關係,進而植入 Spark 遠端存取木馬(RAT),攫取命令與控制權限 。
這些手法標示出攻擊者不只是追求一次入侵,而是建立可信度並持續滲透,對台灣國家安全及產業智財構成高度威脅。
三、目標、作用機制與攻擊範圍
攻擊目標涵蓋了整個產業鏈:
晶圓製造(如 TSMC 等)
設計與測試電路
封裝與材料供應商
產業分析師及金融機構人員,特別是估值與供應鏈分析人士。
攻擊行動驗證結果顯示已傳送惡意郵件至 15 至 20 家公司,包含中小企業與國際金融機構,顯示攻擊對象在供應鏈生態中採取「邊緣突破再內部滲透」策略 。
攻擊內容包括:
Cobalt Strike 整合工具箱
自訂後門工具如 Voldemort
以及後續部署的 Spark, HealthKick 等 RAT/遠端管理程式 。
這些工具具備高隱蔽性、持續控制力與情報蒐集能力,是典型 APT 流程,意在長期攻佔並竊取技術情報。
四、策略意涵與國際政治觀察
Proofpoint 指出,這場攻擊並非孤立事件,而與中國致力於「半導體自主」策略高度吻合,亦配合近年美國與台灣限制高階晶片出口政策,共同將台灣半導體技術列為高價值攻擊目標 。此現象屬於地緣對抗之下的資訊安全戰略,對台灣而言,不再只是商業安全議題,更是國家資通安全與主權保障的關鍵維度。同時,其也加深國際對台灣科技安全影響力的重視。
五、防禦建議與應變機制
✅ 組織層
✅ 技術層
✅ 情資共享
✅ 政策合作
與政府單位合作進行 聯合演練與攻擊模擬。
- 推動業界與國防資通安全合作機制,防止關鍵產業被戰略操縱。
六、結語
此波針對台灣半導體產業的中國 APT 網路攻擊,展現出新世代資訊戰的複合性與策略意涵,從個別入侵升級為長期滲透與智財竊取,對產業競爭力與國家安全皆構成顯著挑戰。台灣需從 產業鏈整體防護、戰略資安定位、國際情資合作與快速應變能力 等四大面向同步強化。透過技術、政策、教育與情資交互作用,方可有效阻絕未來類似攻擊的成功機率,維護國家關鍵核心資產。
資料來源:https://www.darkreading.com/cyberattacks-data-breaches/4-chinese-apts-taiwan-semiconductor-industry