El actor de amenazas forrado de China detr\u00e1s de la explotaci\u00f3n de fallas de seguridad en el d\u00eda cero en los servidores de intercambio de Microsoft en enero de 2021 ha cambiado sus t\u00e1cticas para apuntar a la cadena de suministro de la tecnolog\u00eda de la informaci\u00f3n (TI) como un medio para obtener acceso inicial a las redes corporativas.<\/p>\n
Eso es de acuerdo con los nuevos hallazgos del equipo de inteligencia de amenazas de Microsoft, que dec\u00eda el Tif\u00f3n de seda<\/strong> (anteriormente Hafnium) Hacking Group ahora est\u00e1 dirigido a soluciones de TI, como herramientas de administraci\u00f3n remota y aplicaciones en la nube para obtener un punto de apoyo.<\/p>\n “Despu\u00e9s de comprometer con \u00e9xito a una v\u00edctima, Silk Typhoon utiliza las claves y credenciales robadas para infiltrarse en redes de clientes donde luego pueden abusar de una variedad de aplicaciones desplegadas, incluidos los servicios de Microsoft y otros, para lograr sus objetivos de espionaje”, The Tech Giant Giant “, The Tech Giant dicho<\/a> en un informe publicado hoy.<\/p>\n Se eval\u00faa que el colectivo adversario es “bien recubierto y t\u00e9cnicamente eficiente”, presentando r\u00e1pidamente los exploits para vulnerabilidades de d\u00eda cero en dispositivos de borde para ataques oportunistas que les permiten escalar sus ataques a escala y a trav\u00e9s de una amplia gama de sectores y regiones.<\/p>\n Esto incluye servicios de tecnolog\u00eda de la informaci\u00f3n (TI) e infraestructura, empresas de monitoreo y gesti\u00f3n remota (RMM), proveedores de servicios administrados (MSP) y afiliados, atenci\u00f3n m\u00e9dica, servicios legales, educaci\u00f3n superior, defensa, gobierno, organizaciones no gubernamentales (ONG), energ\u00eda y otros ubicados en los Estados Unidos y en todo el mundo.<\/p>\n Tambi\u00e9n se ha observado que el tif\u00f3n de seda depende de varios proyectiles web para lograr la ejecuci\u00f3n de comandos, la persistencia y la exfiltraci\u00f3n de datos de los entornos de las v\u00edctimas. Tambi\u00e9n se dice que demostr\u00f3 una gran comprensi\u00f3n de la infraestructura en la nube, lo que le permite moverse lateralmente y cosechar datos de inter\u00e9s.<\/p>\n Al menos desde finales de 2024, los atacantes se han vinculado a un nuevo conjunto de m\u00e9todos, entre los cuales se refiere al abuso de las claves y las credenciales de API robadas asociadas con la gesti\u00f3n de acceso de privilegios (PAM), los proveedores de aplicaciones en la nube y las compa\u00f1\u00edas de gesti\u00f3n de datos en la nube para llevar a cabo compromisos de la cadena de suministro de clientes aguas abajo.<\/p>\n “Aprovechando el acceso obtenido a trav\u00e9s de la clave API, el actor realiz\u00f3 el reconocimiento y la recopilaci\u00f3n de datos en dispositivos dirigidos a trav\u00e9s de una cuenta de administraci\u00f3n”, dijo Microsoft, y agreg\u00f3 que los objetivos de esta actividad abarcaban principalmente el gobierno estatal y local, as\u00ed como el sector de TI.<\/p>\n Algunas de las otras rutas de acceso iniciales adoptadas por Typhoon de seda implican la explotaci\u00f3n del d\u00eda cero de una falla de seguridad en Ivanti Pulse Connect VPN (CVE-2025-0282) y el uso de ataques con contrase\u00f1a de ataques con contrase\u00f1a utilizando credenciales empresariales aparecidas desde contrase\u00f1as filtradas en repeticiones p\u00fablicas alojadas en GitHub y otros.<\/p>\n Tambi\u00e9n explotado por el actor de amenaza como un d\u00eda cero son –<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-tifon-de-seda-ligado-a-China-expande-los-ataques.png\")
<\/a><\/center><\/div>\n\n