Il gruppo di minacce informatiche noto come Silk Typhoon, precedentemente chiamato Hafnium, ha recentemente cambiato tattiche per compromettere le catene di approvvigionamento IT, con l'obiettivo di ottenere un accesso iniziale alle reti aziendali. Secondo il team di Microsoft Threat Intelligence, il gruppo, noto per avere legami con la Cina, ha iniziato a prendere di mira soluzioni IT, strumenti di gestione remota e applicazioni cloud per stabilire una presenza iniziale nei sistemi delle vittime.

Dopo aver compromesso con successo un obiettivo, Silk Typhoon utilizza chiavi e credenziali rubate per infiltrarsi nelle reti dei clienti. Questo consente loro di abusare di varie applicazioni distribuite, tra cui servizi Microsoft, per raggiungere i loro obiettivi di spionaggio. Il gruppo è valutato come ben equipaggiato e tecnicamente efficiente, utilizzando rapidamente le vulnerabilità zero-day in dispositivi edge per attacchi opportunistici su una vasta gamma di settori e regioni.

Settori colpiti

I settori colpiti includono servizi IT e infrastrutture, aziende di monitoraggio e gestione remota (RMM), provider di servizi gestiti (MSP), sanità, servizi legali, istruzione superiore, difesa, governo, ONG, energia e altri negli Stati Uniti e nel resto del mondo. Silk Typhoon si avvale anche di vari web shell per eseguire comandi, mantenere la persistenza ed esfiltrare dati dagli ambienti delle vittime. Inoltre, hanno dimostrato una comprensione approfondita delle infrastrutture cloud, consentendo loro di muoversi lateralmente e raccogliere dati di interesse.

Dal tardo 2024, gli attaccanti sono stati collegati a nuovi metodi, tra cui l'abuso di chiavi API rubate e credenziali associate a gestione degli accessi privilegiati (PAM), provider di applicazioni cloud e aziende di gestione dei dati cloud per realizzare compromessi nelle catene di approvvigionamento dei clienti a valle. Utilizzando l'accesso ottenuto tramite la chiave API, l'attore ha effettuato ricognizioni e raccolta di dati su dispositivi mirati tramite un account amministrativo.

Altri metodi di accesso iniziale adottati da Silk Typhoon includono l'uso di attacchi di "password spray" con credenziali aziendali ottenute da password trapelate su repository pubblici come GitHub. Sono state anche sfruttate diverse vulnerabilità zero-day, tra cui CVE-2024-3400, CVE-2023-3519 e una serie di vulnerabilità nel Microsoft Exchange Server. Una volta ottenuto l'accesso iniziale, gli attaccanti si spostano lateralmente dagli ambienti locali a quelli cloud, utilizzando applicazioni OAuth con permessi amministrativi per esfiltrare dati da email, OneDrive e SharePoint tramite l'API MSGraph.

Silk Typhoon, per mascherare l'origine delle loro attività malevole, si avvale di una "CovertNetwork" composta da dispositivi compromessi, caratteristica comune a diversi attori sponsorizzati dallo Stato cinese. Durante le attività recenti, Silk Typhoon ha utilizzato una varietà di web shell per mantenere la persistenza e consentire l'accesso remoto agli ambienti delle vittime.