中国系スパイ攻撃グループが台湾半導体業界を標的に活動を強化

ブログ

脅威インサイト

Share with your network!

2025年7月16日 Mark Kelly and the Proofpoint Threat Research Team

主な調査結果

2025年3月から6月にかけて、プルーフポイントの脅威リサーチでは、中国の国家に支援された３つの脅威アクターが、台湾の半導体業界に対して標的型フィッシングキャンペーンを実施しているのを観測しました。いずれの場合も、その動機はスパイ活動であった可能性が高いと考えています。
これらの攻撃キャンペーンの対象は、半導体や集積回路の製造・設計・テストを行う組織にとどまらず、同分野の機器・サービスを担うサプライチェーン事業体や、台湾の半導体市場に特化した金融投資アナリストにまで及びました。
この攻撃活動は、特に米国と台湾の輸出規制を考慮し、半導体の自給を達成し、国際的なサプライチェーンと技術への依存を減らすという中国の戦略的優先順位を反映していると考えられます。

概要

アナリスト注：プルーフポイントは、UNK_指定子を使用して、まだ発展途上であり、数値によるTA指定を受けるのに十分な期間観測されていない活動のクラスターを定義しています。

中国と連携する脅威勢力は、長年にわたり半導体業界を日常的に標的としてきました。この活動はおそらく中国内部の戦略的経済優先事項と整合しており、5カ年計画を含む歴代の国家経済発展構想において半導体技術の重要性がますます強調されています。半導体技術の戦略的自立を確保することに重きが置かれるようになり、輸出規制による外部からの圧力によって加速され、この業界に向けられた情報収集活動の優先順位が高まったと思われます。このことは、プルーフポイントの脅威リサーチチームが追跡している中国と連携したスパイ活動にも反映されており、現在、中国と連携したグループによるこの業界への標的がかつてないほど増えていることが確認されています。

2025年3月から6月にかけて、プルーフポイントは、半導体業界内の台湾の組織を特に標的とする複数の中国系脅威アクターを特定しました。これには、UNK_FistBumpとして追跡されている、雇用をテーマにしたフィッシング・キャンペーンで半導体の設計、製造、サプライ・チェーン組織を標的とし、Cobalt StrikeやカスタムVoldemort バックドアを配信する中国に足並みを揃えた脅威行為者が含まれていました。

さらに、プルーフポイントは、UNK_DropPitchとして追跡されている別の中国と連携した脅威アクターが、台湾の半導体業界に特化した投資分析を専門とする複数の大手投資会社の個人を標的としていることを確認しました。このUNK_DropPitchのターゲティングは、設計や製造事業体だけでなく、半導体のエコシステムのあまり目立たない分野にもまたがる情報収集の優先順位の例証です。最後に、UNK_SparkyCarpとして追跡されているアクターが、カスタムのAdversary in the Middle (AiTM)フィッシング・キットを使用して台湾の半導体企業に対してクレデンシャル・フィッシング活動を行っていることも確認しました。

UNK_FistBump による半導体製造とサプライチェーンをターゲットにした求職のルアー（おとりテーマ）

2025年5月と6月、プルーフポイントは、UNK_FistBumpが台湾を拠点とする半導体製造、パッケージング、テスト、サプライチェーンの組織を標的とした複数のスピアフィッシング・キャンペーンを実施していることを確認しました。UNK_FistBumpは、就職を希望する大学院生を装い、漏洩した台湾の大学のメールアドレスを使用して、採用担当者や人事担当者にフィッシングメールを送信しました。この活動で確認された件名は以下の通りです：

產品工程（材料分析/製程優化）-台灣大學-薛豪 [附履歷]
(機械翻訳: 製品エンジニアリング（材料分析／プロセス最適化） - 台湾大学 - 薛豪シュエ・ハオ [履歴書つき])
Bumping工程師-台灣大學-材料工程學類-薛豪
(機械翻訳:バンピングエンジニア-台湾大学-材料工学-薛豪シュエ・ハオ)
【重要】麻煩協助確認
(機械翻訳:【重要】確認をお願いします)

UNK_FistBump求人応募フィッシングメールの例（繁体字中国語からの機械翻訳）。

配送手法

UNK_FistBumpフィッシングメールは、おそらく侵害されたアカウント経由で送信され、パスワードで保護されたアーカイブの添付ファイルまたはPDFの添付ファイルが含まれていました。PDFの添付ファイルには、ZendeskインスタンスまたはFilemailファイル共有サービス上でホストされているアーカイブファイルへのURLが含まれていました。以前のUNK_FistBumpキャンペーンでは、Cobalt Strike Beaconペイロードが配信されていましたが、グループは2025年5月下旬にカスタムVoldemortバックドアの配信に移行しました。

ファイル共有サイトにつながるUNK_FistBump PDF添付ファイル（繁体字中国語からの機械翻訳）

UNK_FistBumpは、2025年5月下旬に行われた異例のキャンペーンにおいて、同じパスワードで保護されたアーカイブから始まる2つの異なる感染チェーンを含み、1つはCobalt Strike Beaconペイロードをロードし、2つ目はVoldemortをロードしました。これらの感染チェーンは最初、別々のマイクロソフト・ショートカット（LNK）ファイルによって引き起こされました。

UNK_FistBump RAR アーカイブには、2 つの異なる感染チェーンが含まれている

2つの異なる感染チェーンを含む求人応募用zipの内容

感染チェーン1：Cobalt Strikeペイロード

崗位匹配度說明.pdf.lnkという最初のLNKファイルを実行すると、cacheサブフォルダ内に格納されているVBSスクリプトStore.vbsが実行されます。このフォルダには以下のファイルが含まれています：

cache/Store.vbs
cache/javaw.exe
cache/崗位匹配度說明.pdf
cache/rc4.log
cache/jli.dll

このStore.vbsスクリプトは、ファイルjavaw.exe、jli.dll、およびrc4.logをC:˶UsersPublicVideosディレクトリにコピーし、崗位匹配度說明.pdf（機械翻訳：ジョブ互換性の説明.pdf）という名前のおとり文書を開きます。そして、DLLサイドローディングに対して脆弱な、良性の署名付き実行ファイルjavaw.exeを実行します。これにより悪意のあるDLL jli.dllがロードされ、qwxsfvdtvキーを使用してrc4.logファイルからRC4で暗号化されたCobalt Strike Beaconのペイロードを解読し、メモリにロードします。Cobalt Strike Beaconペイロードは、カスタマイズされたGoToMeeting malleable C2 プロファイルを使用し、ポートTCP 443を介してEvoxt VPS C2のIPアドレス166.88.61[.]35と通信します。また、jli.dllローダーは、DLLサイドローディング実行ファイルjavaw.exeのパスに、実行用のHKEY_CURRENT_USER SOFTWARE\Microsoft Windows\CurrentVersion\Runキー値を設定することで、永続性を確立します。

感染チェーン2：Voldemort のペイロード

台灣大學-材料工程學類-薛豪.pdf.lnkという2つ目のLNKを実行すると、今度はMACOSXサブフォルダー内のStore.vbsという別のVBSファイルが実行されます。このMACOSXフォルダには以下のファイルが含まれています：

_MACOSX/Store.vbs
_MACOSX/台灣大學-材料工程學類-薛豪.pdf
_MACOSX/CiscoSparkLauncher.dll
_MACOSX/CiscoCollabHost.exe
_MACOSX/Cisco.xml

Cobalt Strike感染チェーンと同様に、Store.vbsスクリプトは悪意のある実行可能ファイルをC:¥Users¥Public¥Videosにコピーし、別のおとり文書「台灣大學-材料工程學類-薛豪.pdf」（機械翻訳：台湾大学 - 材料工学 - Xue Hao.pdf）を開きます。その後、DLLサイドローディングに対して脆弱な署名付きの良性の実行ファイルCiscoCollabHost.exeを実行し、悪意のあるDLL CiscoSparkLauncher.dllをロードします。このDLLサイドローディングの連鎖により、Google Sheetsをコマンド＆コントロール（C2）に使用するカスタムVoldemortバックドアが配信されます。

UNK_FistBump のおとり文書を再び開く

観察された特定のVoldemort DLLのサイドローディング感染チェーンとペイロードは、プルーフポイントが以前に報告したように、中国の国家を標的にした脅威行為者TA415（APT41、Brass Typhoon）が使用するものに酷似しています。 2025年5月にUNK_FistBumpによって使用された初期のVoldemortのバリエーションは、Google Sheets C2にホスト情報をプレーンテキストで流出させ、その後のバリエーションは、TA415の活動で以前に強調されたのと同じ方法で、実行ファイルのファイル名をRC4キーとして値をBase64エンコードおよびRC4暗号化しました（CiscoCollabHost.exe）。

UNK_FistBumpとTA415のアトリビューション重複の検証

Voldemortは、プルーフポイントとGoogleによって公に報告されたカスタムマルウェアファミリーで、歴史的にはProofpointのテレメトリー内でTA415によってのみ使用されていました。また、Proofpoint Threat Research は以前、TA415 が、今回取り上げた UNK_FistBump の活動と同様の方法で、感染した台湾の大学の送信者を使用して、台湾の半導体セクターを標的としたスピアフィッシング・キャンペーンを実施していることを確認しています。

しかし、観察されたUNK_FistBumpのキャンペーンは、通常TA415として追跡される活動とは異なっています。例えば、Cobalt Strike感染チェーンは、TA415に典型的ではないローダーを使用しており、通常、UNK_FistBumpが使用する、より単純化されたRC4ローダーではなく、ChaCha20ベースのローダーを好んで使用します。同様に、Cloudflare WorkerやCloudflare CDNの背後にあるアクターが管理するドメインではなく、ハードコードされたIPアドレスをC2に使用することは、TA415の活動の典型的な例ではありません。これらの相違点およびその他の相違点、そして中国のサイバースパイ脅威アクター間でのカスタム能力共有の幅広い傾向から、プルーフポイントは現時点ではUNK_FistBumpの活動をTA415とは異なるものとして追跡しています。

UNK_DropPitch、半導体投資アナリストを売り込む

2025年4月と5月、プルーフポイントは、UNK_DropPitchとして追跡されている別の中国系脅威アクターが、複数の大手投資銀行に対して標的型フィッシング・キャンペーンを実施しているのを観測しました。この活動は、特に台湾の半導体およびテクノロジー分野の金融投資分析を専門とする個人に焦点を当てていました。フィッシングメールは、攻撃者が所有する電子メールアドレスから送信され、その個人との協力関係を求める架空の金融投資会社からのものであるかのように装っていました。

配送

UNK_DropPitch投資調査共同フィッシングメールの例（繁体字中国語からの機械翻訳）

2025年4月下旬に観測されたキャンペーンでは、UNK_DropPitchフィッシングメールにhxxps://api[.]moctw[.]info/Intro.pdfへのリンクが含まれていました。この結果、Intro.zipという名前のファイルがダウンロードされ、DLLサイドローディングに対して脆弱な良性の実行ファイルと、ProofpointがHealthKickとして追跡している単純なカスタムバックドアをロードするように設計された悪意のあるDLL libcef.dllの両方が含まれていました。

UNK_DropPitch Intro.zipの内容

実行すると、両方のファイルがProgramDataディレクトリの下のランダムな名前のサブフォルダにコピーされ、以下のSystemHealthMonitorという名前のスケジュールタスクが作成され、5分ごとに[PDF] Introduction Documents 2 - 250409.exeが実行されます：

schtasks.exe /Create /TN "SystemHealthMonitor" /TR "\"C:\ProgramData\zumArSAB\[PDF] Introduction Documents 2 - 250409.Exe\" -run" /SC MINUTE /MO 5 /F

その後、HealthKickバックドアは、TCPポート465上で、アクターが管理するIPアドレス82.118.16[.]72へのWebソケットの作成を試みます。 HealthKickはFakeTLSプロトコルを使用し、C2からの応答がマジックバイト0x17 0x03 0x03（TLSv1.2の標準ヘッダー）で始まり、ペイロードサイズが続くことを期待します。このマルウェアは、受信パケットがこれらのマジックバイトで始まることを確認し、その後で再度確認するため、コマンドを適切に解析してデコードするためには、FakeTLSヘッダーを2回含める必要がある。この二重のFakeTLSヘッダーの後に、mysecretkeyキーでXORエンコードされたペイロードが続きます。

HealthKick TCP ソケット C2 通信

HealthKickは単純なバックドアで、コマンドを実行し、リダイレクトされた匿名パイプを介してその出力をキャプチャし、同じFakeTLSとXORエンコードされたペイロード形式を使用してC2に送り返されます。

後の2025年5月下旬のUNK_DropPitchキャンペーンは以下のNetlify URLにリンクし

URL https://brilliant-bubblegum-137cfe[.]netlify[.]app/files/Introduction%20Document.zip

そして再び、pbvm90.dllという悪意のあるDLLをロードするための実行ファイルを含むZIPファイルを配信しました。この場合、結果として生じるマルウェアは単純な生のTCPリバースシェルであり、行為者が制御するVPSサーバー45.141.139[.]222とTCPポート465を介して再び通信し、前述のものと同一のスケジュールされたタスクを介して持続します。

このリバースシェルでは、例外処理やエラー処理が最小限に抑えられているため、マルウェアクライアントの接続に対するサーバーの応答（「Server ready」）は、インプラントによってコマンドとして解釈されます。同様に、このリバースシェルは、ハートビートとして定期的に「ping」メッセージをC2に送信します。同様の "ping "チェックインがC2からも返信され、オペレータのコマンドと連結されてエラーになることがよくありました。また、プルーフポイント社は、オペレータからのコマンド・レスポンスにタイプミスがあることを確認しており、コマンドは自動化されたものではなく、手動で発行されている可能性が高いことを示しています。

UNK_DropPitch リバースシェルのエラーとタイプミス

プルーフポイントは、UNK_DropPitchがこのリバースシェルを使用して、ターゲットに対して最初の列挙と発見を行うのを観察しました。その後、ターゲットが関心を引くと判断された場合、このグループはリモート監視および管理（RMM）ツールIntel Endpoint Management Assistant（EMA）をドロップし、アクターが管理するドメインema.moctw[.]infoと通信するように設定しました。

UNK_DropPitch感染チェーン

UNK_DropPitch ネットワークインフラの分析

82.118.16[.]72のHealthKickバックドアC2 IPアドレスと80.85.156[..]234 Intel EMA C2サーバーの両方が、ロシアのVPSホスティング・プロバイダーProfitServerに関連する非常に類似した逆引きDNS名を使用し、Mr.RobotのキャラクターElliot Aldersonを参照していました：

elliot-alderson-971.pserver[.]space
elliot-alderson-97.pserver[.]space

また、同じような名前の複数の電子メールアドレスが脅威アクターによって使用されています。このアーティファクトをピボットすると、脅威アクターが管理している可能性の高いサーバーがさらに見つかり、そのうちのいくつかは、米国の学術機関やシンクタンクを標的としたその後の2025年6月のUNK_DropPitchキャンペーンでC2サーバーとして使用されていました：

31.192.234[.]97 (elliot-alderson-15.pserver[.]space)
80.85.154[.]48 (elliot-alderson-973.pserver[.]space)
80.85.154[.]101 (elliot-alderson-151.pserver[.]space)
80.85.156[.]237 (elliot-alderson-974.pserver[.]space)
80.85.157[.]116 (elliot-alderson-972.pserver[.]space)
80.85.157[.]145 (elliot-alderson-978.pserver[.]space)
82.118.16[.]72 (elliot-alderson-971.pserver[.]space)
82.118.16[.]106 (elliot-alderson-972.pserver[.]space)

これらのサーバーのうち2台は、SoftEther VPNサーバーとして同時に設定されていました。SoftEther VPNサーバーは、中国と連携しているさまざまな脅威アクターがインフラ管理と被害者ネットワークからのトラフィックのトンネリングの両方に一般的に使用しているオープンソースのVPN製品です。 UNK_DropPitch のサブドメイン mx.moctw[.]info (43.247.132[.]96) のホスティング IP アドレスも、使用中に SoftEther VPN サーバーとして設定されていました。

上記の80.85.154[.]101 IPアドレスは、コモンネームCN=AS.webサイトを持つTLS証明書を同時に展示しています（SHA256フィンガープリント：ポートTCP 4444で000062e9e212231328b660f759f8878ac47604b9609f71c05ad19d7ef56b17a8)。この証明書は、歴史的に、中国の国家に支援された脅威アクターが使用する複数のカスタムマルウェアファミリ（最も頻繁にはSideWalk（別名ScrambleCross）バックドア）に関連するC2インフラストラクチャ上で公開されています。この TLS 証明書は、MoonBounce ファームウェア・ルートキットに関する Kasperskyのレポートや、TA415（APT41、Brass Typhoon）の活動に関する PWC のレポートでも指摘されており、いずれも SideWalk の使用に関連しています。現時点では、プルーフポイントのアナリストは、このTLS証明書の再利用が、複数の中国系脅威行為者（おそらくSideWalk）間で共有されている特定のカスタム・マルウェア・ファミリーの成果物なのか、あるいはこれらのグループ間で共有されているインフラ・プロビジョニングの成果物なのかを断定することはできませんでした。

台湾半導体業界を狙う中国系脅威勢力の追加動向

注目されたUNK_FistBumpとUNK_DropPitchの活動に加え、プルーフポイントは、台湾の半導体産業内の組織を特に標的とする、中国の国家に支援された複数の脅威行為者を特定しました。

2025年3月、プルーフポイントが「UNK_SparkyCarp」として追跡している中国に関連すると考えられる脅威アクターは、2024年11月にも同グループが標的としていた台湾の半導体産業企業を標的とし、カスタムAiTM（adversary-in-the-middle）フレームワークを使用したクレデンシャルフィッシングキャンペーンを実施しました。フィッシングメールはアカウントログインのセキュリティ警告を装い、アクターが管理するクレデンシャルフィッシングドメインaccshieldportal[.]comへのリンクとacesportal[.]comのトラッキングビーコンURLを含んでいました。

典型的なUNK_SparkyCarp AITMフィッシングキットのランディングページ

同様に、2024年10月、プルーフポイントは、中国と連携した脅威アクターUNK_ColtCentury（TAG-100、Storm-2077と重複）が、台湾の半導体企業の法務担当者に良識的な会話のきっかけとなる電子メールを送信し、ターゲットに関与しようとしていることを確認しました。この脅威行為者に関連する活動から、これはSparkRATバックドアを展開する試みであったと考えられます。

結論

近年、Proofpoint のテレメトリーでは、政府、航空宇宙・防衛関連企業、非政府組織など、伝統的なスパイ活動の標的が、中国と連携するスパイ活動家によって一貫して標的とされ続けています。中国と連携している脅威アクターによる半導体の標的化に関する公の報告にもかかわらず、プルーフポイントが直接観測したのは、この分野の散発的な標的化のみでした。 2025年3月以降、これは、特に台湾の事業体に重点を置いて、この部門を特に標的とする異なる中国同盟グループからの複数のキャンペーンの目撃情報へと変化しました。

多くの確立された中国と連携する脅威アクターが戦術、技術、手順（TTP）をエッジデバイスやその他の初期アクセスベクターの悪用にシフトする中、プルーフポイントでは、本レポートで取り上げた活動のサブセットで実証されているように、中国と連携する新たなクラスターがフィッシング脅威の状況に流入していることを確認しています。これらの新たな脅威勢力は、中国国家の利益に沿った長年の標的化パターンを踏襲するとともに、従来から中国と連携したサイバースパイ活動に見られるTTPやカスタム機能を引き続き示していることが確認されました。」

IoC (Indicators of compromise / 侵害指標)

UNK_FistBump Network Indicators
Indicator	Type	Description	First Seen
166.88.61[.]35	IP address	Cobalt Strike C2	May 2025
hxxps://sheets[.]googleapis[.]com:443/v4/spreadsheets/1z8ykHVYh9DF-b_BFDA9c4Q2ojfrgl-fq1v797Y5576Y	URL	Voldemort Google Sheets C2	May 2025
hxxps://sheets[.]googleapis[.]com:443/v4/spreadsheets/14H0Gm6xgc2p3gpIB5saDyzSDqpVMKGBKIdkVGh2y1bo	URL	Voldemort Google Sheets C2	June 2025
john.doe89e@gmail[.]com	Email	Malware delivery	May 2025
hxxps://3008[.]filemail[.]com/api/file/get?filekey=DeHjMusPPgDt5EsWxOcgYCfRh5yI6MIIg7vvwn9yFEzh93Cts5UxrfXMYEPiMWffVCp36UCsVgYSlC47WGdjHZ7m9bAw0QWcgqQZcg&pk_vid=007318ac7ca53d8717482475404ed5a2	Delivery	Filemail staging URL	May 2025
UNK_FistBump Malware Indicators
1a2530010ecb11f0ce562c0db0380416a10106e924335258ccbba0071a19c852	SHA256	協助確認.rar	June 2025
084b92365a25e6cd5fc43efe522e5678a2f1e307bf69dd9a61eb37f81f304cc6	SHA256	台灣大學-材料工程學類-薛豪.rar	June 2025
85e4809e80e20d9a532267b22d7f898009e74ed0dbf7093bfa9a8d2d5403f3f9	SHA256	台灣大學-材料工程學類-薛豪.zip	May 2025
338f072cc1e08f1ed094d88aa398472e3f04a8841be2ff70f1c7a2e4476d8ef7	SHA256	台灣大學-材料工程學類-薛豪.rar	May 2025
13fad7c6d0accb9e0211a7b26849cf96c333cf6dfa21b40b65a7582b79110e4b	SHA256	崗位匹配度說明.pdf.lnk	May 2025
d783c40c0e15b73b62f28d611f7990793b7e5ba2436e203000a22161e0a00d0e	SHA256	台灣大學-材料工程學類-薛豪.pdf.lnk	May 2025
1016ba708fb21385b12183b3430b64df10a8a1af8355b27dd523d99ca878ffbb	SHA256	台灣大學-材料工程學類-薛豪.pdf.lnk	May 2025
13fad7c6d0accb9e0211a7b26849cf96c333cf6dfa21b40b65a7582b79110e4b	SHA256	Bumping工程師-台灣大學-材料工程學類-薛豪.pdf.lnk 台灣大學-材料工程學類-薛豪.pdf.lnk	May 2025
1016ba708fb21385b12183b3430b64df10a8a1af8355b27dd523d99ca878ffbb	SHA256	2025年度薪資調整辦法公告.pdf.lnk	June 2025
bab8618bc6fc3fdfa7870b5fe0f52b570fabf0243d066f410a7e76ebeed0088c	SHA256	Store.vbs	May 2025
0d992762c69d624a1f14a8a230f8a7d36d190b49e787fd146e9010e943c5ef78	SHA256	Store.vbs	May 2025
ec5fef700d1ed06285af1f2d01fa3db5ea924de3c2da2f0e6b7a534f69d8409c	SHA256	Store.vbs	June 2025
82ecfe0ada6f7c0cea78bca2e8234241f1a1b8670b5b970df5e2ee255c3a56ef	SHA256	CiscoSparkLauncher.dll (Voldemort loader DLL)	May 2025
cd009ea4c682b61963210cee16ed663eee20c91dd56483d456e03726e09c89a7	SHA256	CiscoSparkLauncher.dll (Voldemort loader DLL)	June 2025
bbdad59db64c48f0a9eb3e8f2600314b0e3ebd200e72fa96bf5a84dd29d64ac5	SHA256	jli.dll (Cobalt Strike loader DLL)	May 2025
fc8f7185a90af4bf44332e85872aa7c190949e3ec70055a38af57690b6604e3c	SHA256	rc4.log (Cobalt Strike Beacon encrypted payload)	May 2025

UNK_DropPitch Network Indicators
Indicator	Type	Description	First Seen
amelia_w_chavez@proton[.]me	Email	Malware delivery	April 2025
lisan_0818@outlook[.]com	Email	Malware delivery	May 2025
moctw[.]info	Domain	Malware delivery	April 2025
hxxps://api[.]moctw[.]info/Intro.pdf	URL	Malware delivery	April 2025
hxxps://api[.]moctw[.]info/Document-2025.4.25.pdf	URL	Malware delivery	April 2025
hxxps://api[.]moctw[.]info/Install.zip	URL	Malware delivery	April 2025
hxxps://brilliant-bubblegum-137cfe[.]netlify[.]app/files/Introduction%20Document.zip	URL	Malware delivery	May 2025
ema.moctw[.]info	Domain	C2	April 2025
www.twmoc[.]info	Domain	C2	June 2025
80.85.156[.]234	IP Address	C2	April 2025
82.118.16[.]72	IP Address	C2	April 2025
45.141.139[.]222	IP Address	C2	May 2025
80.85.156[.]237	IP Address	C2	June 2025
80.85.154[.]48	IP Address	C2	June 2025
UNK_DropPitch Malware Indicators
7bffd21315e324ef7d6c4401d1bf955817370b65ae57736b20ced2c5c08b9814	SHA256	Intro.zip	April 2025
9b2cbcf2e0124d79130c4049f7b502246510ab681a3a84224b78613ef322bc79	SHA256	libcef.dll	April 2025
4ee77f1261bb3ad1d9d7114474a8809929f4a0e7f9672b19048e1b6ac7acb15c	SHA256	libcef.dll	April 2025
d3a71c6b7f4be856e0cd66b7c67ca0c8eef250bc737a648032d9d67c2c37d911	SHA256	[PDF] Introduction Document-2025.4.25.lnk	April 2025
366d7de8a941daa6a303dc3e39af60b2ffacaa61d5c1fb84dd1595a636439737	SHA256	Introduction Document.zip	May 2025
d51c195b698c411353b10d5b1795cbc06040b663318e220a2d121727c0bb4e43	SHA256	[PDF]Taiwan-Cooperation-Introduction-Document-20250521.exe	May 2025
ffd69146c5b02305ac74c514cab28d5211a473a6c28d7366732fdc4797425288	SHA256	pbvm90.dll	May 2025

UNK_SparkyCarp Network Indicators
accshieldportal[.]com	Domain	UNK_SparkyCarp credential phishing domain	March 2025
acesportal[.]com	Domain	Tracking pixel domain	March 2025
hxxps://ttot.accshieldportal[.]com/v3/ls/click/?c=b5c64761	URL	Credential phishing URL	March 2025
hxxps://aqrm.accshieldportal[.]com/v2/account/validate/?vid=35f46f46	URL	Credential phishing URL	March 2025
hxxps://acesportal[.]com/T/bfzWhb	URL	Tracking pixel URL	March 2025
hxxps://acesportal[.]com/T/KRfzAH	URL	Tracking pixel URL	March 2025
menglunwuluegg226@proton[.]me	Email	Malware delivery	March 2025
lonelyboymaoxcz231@proton[.]me	Email	Malware delivery	March 2025