El grupo de hackers conocido como Silk Typhoon, al que la firma de ciberseguridad CrowdStrike rastrea como Murky Panda, es un grupo de amenaza persistente avanzada (APT) patrocinado por el estado chino. Se les ha atribuido el ataque al Tesoro de EE. UU. en 2024, lo que subraya su capacidad para atacar objetivos de alto perfil. Este grupo se especializa en la recopilación de inteligencia y sus ataques se dirigen a una amplia gama de sectores, incluyendo el gobierno, la tecnología, la academia, los servicios legales y profesionales. La velocidad y la sofisticación de sus operaciones son características distintivas, lo que les permite armar rápidamente vulnerabilidades recién descubiertas, tanto de tipo "n-day" como "zero-day", para obtener acceso inicial a las redes de sus víctimas. También han demostrado una táctica de ataque sigilosa al comprometer routers SOHO para utilizarlos como parte de su infraestructura.
Un aspecto crucial de su modus operandi es su alto nivel de seguridad de las operaciones (OPSEC), que incluye técnicas para evitar la detección. Modifican las marcas de tiempo y borran meticulosamente los rastros de su actividad en los entornos de las víctimas, lo que hace extremadamente difícil su atribución y contención. Esta destreza táctica se ha observado en múltiples campañas. Uno de los hallazgos más notables de CrowdStrike es su explotación de una vulnerabilidad de día cero en Commvault, identificada como CVE-2025-3928. A través de este ataque, pudieron robar credenciales almacenadas por la plataforma y utilizarlas para acceder a los entornos M365 de las víctimas.
Además de las vulnerabilidades específicas, Silk Typhoon ha demostrado un profundo conocimiento de las arquitecturas de la nube, aprovechando "relaciones de confianza" para moverse lateralmente de un proveedor de servicios a sus clientes. En al menos dos casos, Murky Panda comprometió entornos de proveedores de software como servicio (SaaS), y al descifrar la lógica interna de estos sistemas, lograron pivotar su acceso hacia los clientes finales. Un ejemplo alarmante fue el compromiso de un proveedor de soluciones en la nube de Microsoft, donde obtuvieron privilegios de administrador global y accedieron a cuentas de correo electrónico de clientes, presuntamente para la recopilación de información.
Para el movimiento lateral y la persistencia dentro de las redes comprometidas, el grupo utiliza una variedad de herramientas, incluyendo Remote Desktop Protocol (RDP), web shells y, en algunos casos, su propio malware llamado CloudedHope. Este malware, desarrollado en el lenguaje de programación Golang, posee funcionalidades básicas de una herramienta de acceso remoto (RAT), lo que les permite mantener el control sobre los sistemas comprometidos. La continua sofisticación de sus tácticas y la habilidad para explotar las vulnerabilidades de relaciones de confianza en la nube resalta el desafío que representan para la seguridad global. En un mundo donde las organizaciones dependen cada vez más de los entornos en la nube, grupos como Silk Typhoon demuestran que estas interconexiones pueden convertirse en un punto de entrada crítico para las operaciones de ciberespionaje patrocinadas por estados.
Fuente:
https://www.securityweek.com/chinese-silk-typhoon-hackers-exploited-com…