El actor de amenazas forrado de China detrás de la explotación de fallas de seguridad en el día cero en los servidores de intercambio de Microsoft en enero de 2021 ha cambiado sus tácticas para apuntar a la esclavitud de suministro de la tecnología de la información (TI) como un medio para obtener ataque original a las redes corporativas.
Eso es de acuerdo con los nuevos hallazgos del equipo de inteligencia de amenazas de Microsoft, que decía el Tifón de seda (anteriormente Hafnium) Hacking Group ahora está dirigido a soluciones de TI, como herramientas de empresa remota y aplicaciones en la estrato para obtener un punto de apoyo.
“A posteriori de comprometer con éxito a una víctima, Silk Typhoon utiliza las claves robadas y las credenciales para infiltrarse en las redes de clientes donde pueden propasarse de una variedad de aplicaciones implementadas, incluidos Microsoft Services y otros, para alcanzar sus objetivos de espionaje”, dijo el Giant Tech en un mensaje publicado hoy.
Se evalúa que el colectivo adversario es “proporcionadamente recubierto y técnicamente competente”, presentando rápidamente los exploits para vulnerabilidades de día cero en dispositivos de borde para ataques oportunistas que les permiten medrar sus ataques a escalera y a través de una amplia grado de sectores y regiones.
Esto incluye servicios de tecnología de la información (TI) e infraestructura, empresas de monitoreo y administración remota (RMM), proveedores de servicios administrados (MSP) y afiliados, atención médica, servicios legales, educación superior, defensa, gobierno, organizaciones no gubernamentales (ONG), energía y otros ubicados en los Estados Unidos y en todo el mundo.
Además se ha observado que el tifón de seda depende de varios proyectiles web para alcanzar la ejecución de comandos, la persistencia y la exfiltración de datos de los entornos de las víctimas. Además se dice que demostró una gran comprensión de la infraestructura en la estrato, lo que le permite moverse lateralmente y cosechar datos de interés.
Al menos desde finales de 2024, los atacantes se han vinculado a un nuevo conjunto de métodos, entre los cuales se refiere al exageración de las claves y las credenciales de API robadas asociadas con la administración de ataque de privilegios (PAM), los proveedores de aplicaciones en la estrato y las compañías de administración de datos en la estrato para arrostrar a parte compromisos de la esclavitud de suministro de clientes aguas debajo.
“Aprovechando el ataque obtenido a través de la esencia API, el actor realizó el registro y la compendio de datos en dispositivos dirigidos a través de una cuenta de empresa”, dijo Microsoft, y agregó que los objetivos de esta actividad abarcaban principalmente el gobierno estatal y circunscrito, así como el sector de TI.
Algunas de las otras rutas de ataque iniciales adoptadas por Typhoon de seda implican la explotación del día cero de una descompostura de seguridad en Ivanti Pulse Connect VPN (CVE-2025-0282) y el uso de ataques con contraseña de ataques con contraseña utilizando credenciales empresariales aparecidas desde contraseñas filtradas en repeticiones públicas alojadas en GitHub y otros.
Además explotado por el actor de amenaza como un día cero son –
- CVE-2024-3400, una descompostura de inyección de comando en los firewalls de Palo Parada Networks
- CVE-2023-3519, una vulnerabilidad de ejecución de código remoto no autenticado (RCE) que afecta el compensador de entrega de aplicaciones NetScaler (ADC) y NetScaler de Citrix NetScaler y NetScaler Gateway
- CVE-2021-26855 (además conocido como Proxylogon), CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, un conjunto de vulnerabilidades que afectan a Microsoft Exchange Server
El actor de amenazas sigue a un ataque original que toma medidas para moverse lateralmente de entornos locales a entornos en la estrato, y servirse las aplicaciones OAuth con permisos administrativos para realizar la exfiltración de datos de correo electrónico, OneDrive y SharePoint a través de la API MSGRAPH.
En un intento por ofuscar el origen de sus actividades maliciosas, Silk Typhoon se sostén en un “encubierto” que comprende electrodomésticos comprometidos con ciberinúas comprometidas, enrutadores zyxel y dispositivos Qnap, un sello distintivo de varios actores chinos patrocinados por el estado.
“Durante las actividades recientes y la explotación histórica de estos electrodomésticos, el tifón de seda utilizó una variedad de conchas web para perseverar la persistencia y permitir que los actores accedan a los entornos de víctimas de forma remota”, dijo Microsoft.
