Silk Typhoon: El actor de amenazas vinculado a China amplía sus ciberataques a las cadenas de suministro de TI
El actor de amenazas vinculado a China, conocido como Silk Typhoon (anteriormente Hafnium), ha evolucionado sus tácticas de ciberataque. Este grupo, que saltó a la fama por explotar vulnerabilidades de día cero en servidores de Microsoft Exchange en enero de 2021, ahora está enfocando sus esfuerzos en las cadenas de suministro de tecnología de la información (TI) para obtener acceso inicial a redes corporativas.
Según un reciente informe del equipo de Inteligencia de Amenazas de Microsoft, Silk Typhoon está utilizando herramientas de gestión remota y aplicaciones en la nube como puerta de entrada a sistemas corporativos. Una vez dentro, el grupo utiliza claves y credenciales robadas para infiltrarse en redes de clientes, abusando de aplicaciones desplegadas, incluyendo servicios de Microsoft, para cumplir con sus objetivos de espionaje.
Este colectivo adversario es descrito como "bien financiado y técnicamente eficiente", capaz de explotar rápidamente vulnerabilidades de día cero en dispositivos de borde para llevar a cabo ataques oportunistas. Esto les permite escalar sus operaciones a través de una amplia gama de sectores y regiones, incluyendo servicios e infraestructura de TI, proveedores de servicios gestionados (MSP), atención médica, servicios legales, educación superior, defensa, gobierno, organizaciones no gubernamentales (ONG), energía, entre otros.
Silk Typhoon también ha sido observado utilizando varios tipos de web shells para ejecutar comandos, mantener la persistencia y exfiltrar datos de los entornos de las víctimas. Además, el grupo ha demostrado un profundo entendimiento de la infraestructura en la nube, lo que les permite moverse lateralmente y recolectar datos de interés.
Desde finales de 2024, los atacantes han estado vinculados a un nuevo conjunto de métodos, destacándose el abuso de claves API y credenciales robadas asociadas con la gestión de acceso privilegiado (PAM), proveedores de aplicaciones en la nube y empresas de gestión de datos en la nube para comprometer a los clientes de la cadena de suministro.
Microsoft también ha señalado que Silk Typhoon ha explotado vulnerabilidades de día cero en productos como Ivanti Pulse Connect VPN, firewalls de Palo Alto Networks y Citrix NetScaler, entre otros. Tras obtener acceso inicial, el grupo se mueve lateralmente desde entornos locales a la nube, utilizando aplicaciones OAuth con permisos administrativos para exfiltrar datos de correo electrónico, OneDrive y SharePoint a través de la API MSGraph.
Para ocultar el origen de sus actividades maliciosas, Silk Typhoon utiliza una "Red Covert" compuesta por dispositivos comprometidos como Cyberoam, routers Zyxel y dispositivos QNAP, una táctica característica de varios actores patrocinados por el estado chino.
Este informe subraya la importancia de que las organizaciones refuercen sus medidas de seguridad, especialmente en lo que respecta a la gestión de accesos privilegiados y la protección de sus cadenas de suministro de TI, para defenderse contra amenazas sofisticadas como Silk Typhoon.