Microsoft alerta sobre hackers chinos de Silk Typhoon que buscan robar datos empresariales a través de aplicaciones en la nube y de tecnología.
Microsoft ha advertido sobre un cambio en las estrategias de los actores de amenazas.
Microsoft Threat Intelligence ha publicado un informe que revela nuevas tácticas del grupo de actores de amenazas chino conocido como Silk Typhoon. Este grupo ha comenzado a dirigir sus esfuerzos hacia aplicaciones de tecnología de la información comunes, tales como soluciones en la nube y herramientas de gestión remota, con el objetivo de infiltrarse en los sistemas de sus víctimas.
Silk Typhoon ha sido rastreado atacando una variedad de sectores, que incluye servicios y infraestructura de TI, empresas de monitoreo y gestión remota (RMM), así como los ámbitos de la salud, servicios legales, defensa y agencias gubernamentales, entre otros. Aprovechando vulnerabilidades de día cero en dispositivos de borde y mostrando una notable eficiencia técnica, el grupo se ha posicionado como uno de los actores de amenazas chinas más destacados, con un amplio espectro de objetivos.
En el informe se detallan diversas amenazas detectadas que involucran el uso de claves API robadas y credenciales para la gestión de acceso privilegiado en proveedores de servicios en la nube. Estas tácticas permitieron al grupo acceder a los entornos de clientes de las empresas que atacaron. Se indica que Silk Typhoon posee habilidades destacadas para comprender cómo se despliegan y configuran los entornos en la nube, lo que les ha permitido moverse lateralmente dentro de las redes, mantener su presencia y exfiltrar datos de manera rápida en los sistemas de las víctimas.
Desde que comenzó a ser monitoreado en 2020, Silk Typhoon ha empleado una variedad de shells web para ejecutar comandos, mantener su acceso y exfiltrar información sensible. Este grupo ha sido señalado como responsable del hackeo al Departamento del Tesoro de EE. UU., un incidente significativo en el que se comprometió el software de acceso remoto proporcionado por BeyondTrust, facilitando a los atacantes el acceso a sistemas cruciales.
El gobierno chino ha negado repetidamente cualquier vínculo con Silk Typhoon o con actores de ciberataques en general y ha instado a EE. UU. a cesar la difusión de lo que califica como "desinformación" sobre sus supuestos lazos con estos grupos de amenazas.