El actor de amenazas forrado de China detrás de la explotación de fallas de seguridad en el día cero en los servidores de intercambio de Microsoft en enero de 2021 ha cambiado sus tácticas para apuntar a la cadena de suministro de la tecnología de la información (TI) como un medio para obtener acceso inicial a las redes corporativas.
Eso es de acuerdo con los nuevos hallazgos del equipo de inteligencia de amenazas de Microsoft, que decía el Tifón de seda (anteriormente Hafnium) Hacking Group ahora está dirigido a soluciones de TI, como herramientas de administración remota y aplicaciones en la nube para obtener un punto de apoyo.
«Después de comprometer con éxito a una víctima, Silk Typhoon utiliza las claves robadas y las credenciales para infiltrarse en las redes de clientes donde pueden abusar de una variedad de aplicaciones implementadas, incluidos Microsoft Services y otros, para lograr sus objetivos de espionaje», dijo el Giant Tech en un informe publicado hoy.
Se evalúa que el colectivo adversario es «bien recubierto y técnicamente eficiente», presentando rápidamente los exploits para vulnerabilidades de día cero en dispositivos de borde para ataques oportunistas que les permiten escalar sus ataques a escala y a través de una amplia gama de sectores y regiones.
Esto incluye servicios de tecnología de la información (TI) e infraestructura, empresas de monitoreo y gestión remota (RMM), proveedores de servicios administrados (MSP) y afiliados, atención médica, servicios legales, educación superior, defensa, gobierno, organizaciones no gubernamentales (ONG), energía y otros ubicados en los Estados Unidos y en todo el mundo.
También se ha observado que el tifón de seda depende de varios proyectiles web para lograr la ejecución de comandos, la persistencia y la exfiltración de datos de los entornos de las víctimas. También se dice que demostró una gran comprensión de la infraestructura en la nube, lo que le permite moverse lateralmente y cosechar datos de interés.
Al menos desde finales de 2024, los atacantes se han vinculado a un nuevo conjunto de métodos, entre los cuales se refiere al abuso de las claves y las credenciales de API robadas asociadas con la gestión de acceso de privilegios (PAM), los proveedores de aplicaciones en la nube y las compañías de gestión de datos en la nube para llevar a cabo compromisos de la cadena de suministro de clientes aguas abajo.
«Aprovechando el acceso obtenido a través de la clave API, el actor realizó el reconocimiento y la recopilación de datos en dispositivos dirigidos a través de una cuenta de administración», dijo Microsoft, y agregó que los objetivos de esta actividad abarcaban principalmente el gobierno estatal y local, así como el sector de TI.
Algunas de las otras rutas de acceso iniciales adoptadas por Typhoon de seda implican la explotación del día cero de una falla de seguridad en Ivanti Pulse Connect VPN (CVE-2025-0282) y el uso de ataques con contraseña de ataques con contraseña utilizando credenciales empresariales aparecidas desde contraseñas filtradas en repeticiones públicas alojadas en GitHub y otros.
También explotado por el actor de amenaza como un día cero son –
- CVE-2024-3400, una falla de inyección de comando en los firewalls de Palo Alto Networks
- CVE-2023-3519, una vulnerabilidad de ejecución de código remoto no autenticado (RCE) que afecta el controlador de entrega de aplicaciones NetScaler (ADC) y NetScaler de Citrix NetScaler y NetScaler Gateway
- CVE-2021-26855 (también conocido como Proxylogon), CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, un conjunto de vulnerabilidades que afectan a Microsoft Exchange Server
El actor de amenazas sigue a un acceso inicial que toma medidas para moverse lateralmente de entornos locales a entornos en la nube, y aprovechar las aplicaciones OAuth con permisos administrativos para realizar la exfiltración de datos de correo electrónico, OneDrive y SharePoint a través de la API MSGRAPH.
En un intento por ofuscar el origen de sus actividades maliciosas, Silk Typhoon se basa en un «encubierto» que comprende electrodomésticos comprometidos con ciberinúas comprometidas, enrutadores zyxel y dispositivos Qnap, un sello distintivo de varios actores chinos patrocinados por el estado.
«Durante las actividades recientes y la explotación histórica de estos electrodomésticos, el tifón de seda utilizó una variedad de conchas web para mantener la persistencia y permitir que los actores accedan a los entornos de víctimas de forma remota», dijo Microsoft.
