O grupo de hackers Silk Typhoon, anteriormente conhecido como Hafnium, tem adotado novas estratégias para comprometer redes corporativas por meio da cadeia de suprimentos de tecnologia da informação (TI). Segundo a Microsoft, os criminosos agora miram ferramentas de gerenciamento remoto e aplicativos de nuvem para obter acesso inicial às infraestruturas das empresas.
Hackers chineses expandem ataques a cadeias de suprimentos de TI
Após obter acesso a uma vítima inicial, o Silk Typhoon utiliza credenciais roubadas para se infiltrar nas redes dos clientes. Com isso, eles exploram diversos aplicativos, incluindo serviços da Microsoft e outras plataformas de TI, para conduzir atividades de espionagem. A equipe de Inteligência de Ameaças da Microsoft classifica o grupo como altamente capacitado e bem financiado, sendo capaz de explorar vulnerabilidades de dia zero rapidamente para expandir seus ataques em grande escala.
Alvos estratégicos em diversos setores
Os ataques do Silk Typhoon têm como alvo provedores de serviços de TI, empresas de monitoramento e gerenciamento remoto (RMM), prestadores de serviços gerenciados (MSPs), além de setores como saúde, jurídico, ensino superior, defesa, governo, ONGs e energia, principalmente nos Estados Unidos, mas também em outras regiões.
O grupo foi identificado utilizando shells da web para garantir execução de comandos, persistência e extração de dados das redes invadidas. Além disso, seu conhecimento avançado sobre infraestrutura de nuvem permite movimentação lateral para acessar informações estratégicas.
Notícias Relacionadas
Desenvolvedor do LockBit
Suposto desenvolvedor do LockBit é extraditado para os EUA por crimes cibernéticos
Rostislav Panev, suposto desenvolvedor do ransomware LockBit, foi extraditado para os EUA após sua prisão em Israel. Ele é acusado de projetar malware e facilitar ataques cibernéticos, enquanto as autoridades reforçam o combate a crimes digitais.
Cibersegurança Avançada
Novo ransomware SuperBlack explora vulnerabilidades da Fortinet para ataques sofisticados
O ransomware SuperBlack, operado pelo grupo Mora_001, está explorando vulnerabilidades da Fortinet para comprometer firewalls e realizar ataques sofisticados. A análise aponta ligação com o LockBit e destaca um processo estruturado de invasão e criptografia.
Técnicas recentes e falhas exploradas
Desde o final de 2024, os hackers adotaram novas abordagens, incluindo o uso de chaves de API roubadas e credenciais associadas a sistemas de gerenciamento de acesso privilegiado (PAM). Além disso, exploram vulnerabilidades críticas para ataques direcionados, como:
- CVE-2025-0282: falha na VPN Ivanti Pulse Connect;
- CVE-2024-3400: injeção de comando em firewalls da Palo Alto Networks;
- CVE-2023-3519: execução remota de código no Citrix NetScaler;
- Vulnerabilidades ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065) no Microsoft Exchange Server.
Estratégias de ocultação e persistência
Para dificultar a detecção, o Silk Typhoon utiliza uma rede clandestina denominada CovertNetwork, composta por dispositivos comprometidos da Cyberoam, roteadores Zyxel e sistemas QNAP. Além disso, emprega web shells para manter acesso persistente às redes das vítimas, demonstrando táticas avançadas para garantir sua permanência nos sistemas invadidos.
Diante da sofisticação desses ataques, especialistas recomendam reforçar medidas de segurança, como monitoramento de acessos, autenticação multifator e atualização constante de sistemas para mitigar vulnerabilidades exploradas pelo grupo.
