L’acteur de menaces doublé en Chine derrière l’exploitation zéro-jour des défauts de sécurité dans les serveurs de Microsoft Exchange en janvier 2021 a déplacé ses tactiques pour cibler la chaîne d’approvisionnement des technologies de l’information (TI) comme moyen d’obtenir un accès initial aux réseaux d’entreprise.
C’est selon les nouvelles conclusions de l’équipe Microsoft Threat Intelligence, qui a déclaré le Typhon de soie (anciennement Hafnium) Le groupe de piratage cible désormais des solutions informatiques comme des outils de gestion à distance et des applications cloud pour obtenir de pied.
“Après avoir réussi à compromettre une victime, le typhon de soie utilise les clés et les informations d’identification volées pour infiltrer les réseaux clients où ils peuvent ensuite abuser d’une variété d’applications déployées, y compris les services Microsoft et d’autres, pour atteindre leurs objectifs d’espionnage”, le géant de la technologie dit Dans un rapport publié aujourd’hui.
Le collectif contradictoire est évalué comme “très ressource et techniquement efficace”, mettant rapidement à utiliser des exploits pour des vulnérabilités de jour zéro dans les dispositifs de bord pour des attaques opportunistes qui leur permettent d’étendre leurs attaques à grande échelle et à travers un large éventail de secteurs et de régions.
Cela comprend les services et l’infrastructure des technologies de l’information (IT), les entreprises de surveillance et de gestion à distance (RMM), les prestataires de services gérés (MSP) et les affiliés, les soins de santé, les services juridiques, l’enseignement supérieur, la défense, le gouvernement, les organisations non gouvernementales (ONG), l’énergie et d’autres personnes situées aux États-Unis et dans le monde.
Le typhon de soie a également été observé en reposant sur divers shells Web pour réaliser l’exécution des commandes, la persistance et l’exfiltration des données à partir des environnements de victime. Il aurait également démontré une compréhension approfondie des infrastructures cloud, ce qui lui permet de se déplacer latéralement et de récolter les données d’intérêt.
Au moins depuis la fin de 2024, les attaquants ont été liés à un nouvel ensemble de méthodes, parmi lesquelles concerne l’abus des clés d’API volées et des informations d’identification associées à la gestion des privilèges d’accès (PAM), des fournisseurs d’applications cloud et des sociétés de gestion des données cloud pour effectuer des compromis à la chaîne d’approvisionnement des clients en aval.
“Tirant l’accès obtenu via la clé API, l’acteur a effectué la reconnaissance et la collecte de données sur des appareils ciblés via un compte d’administration”, a déclaré Microsoft, ajoutant que les cibles de cette activité comprenaient principalement l’État et le gouvernement local, ainsi que le secteur informatique.
Certaines des autres voies d’accès initiales adoptées par le typhon de soie impliquent l’exploitation zéro jour d’un défaut de sécurité dans Ivanti Pulse Connect VPN (CVE-2025-0282) et l’utilisation d’attaques de pulvérisation de mot de passe en utilisant des informations d’identification d’entreprise a fait surface à partir de mots de passe divulgués sur des référentiels publics animés sur Github et d’autres.
Également exploité par l’acteur de menace comme un jour zéro est –
- CVE-2024-3400, un défaut d’injection de commande dans les pare-feu Palo Alto Networks
- CVE-2023-3519, une vulnérabilité d’exécution du code distant non authentifié (RCE) affectant le contrôleur de livraison d’application Citrix NetScaler (ADC) et la passerelle NetScaler
- CVE-2021-26855 (alias Proxylogon), CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, un ensemble de vulnérabilités impactant Microsoft Exchange Server
Un accès initial réussi est suivi par l’acteur de menace qui prend des mesures pour passer latéralement des environnements sur site vers les environnements cloud, et exploiter les applications OAuth avec des autorisations administratives pour effectuer des e-mails, OneDrive et une exfiltration de données SharePoint via l’API MSGRAPH.
Dans une tentative d’obscurcissez l’origine de leurs activités malveillantes, le typhon de soie s’appuie sur un “covertwork” comprenant des appareils de cyberoam compromis, des routeurs de zyxel et des appareils QNAP, une caractéristique de plusieurs acteurs chinois parrainés par l’État.
“Au cours des activités récentes et de l’exploitation historique de ces appareils, le typhon de soie a utilisé une variété de coquilles Web pour maintenir la persistance et permettre aux acteurs d’accéder à distance aux environnements victimes”, a déclaré Microsoft.



