Investigadores en ciberseguridad informan que el grupo chino patrocinado por el estado Silk Typhoon ha intensificado sus ataques a organizaciones en Norteamérica, afectando sectores como gobierno, tecnología, academia, servicios legales y profesionales. CrowdStrike, que rastrea al grupo bajo el alias Murky Panda, lo vincula con operaciones de espionaje de alto perfil, incluido el hackeo del Tesoro de Estados Unidos en 2024.

Se ha observado que Silk Typhoon explotan rápidamente vulnerabilidades n-day y zero-day para obtener acceso inicial a los sistemas de las víctimas. Sus operaciones también incluyen la comprometación de routers SOHO, que luego son utilizados como infraestructura dentro de sus ataques. El grupo demuestra un alto nivel de seguridad operativa, incluyendo modificación de marcas de tiempo y eliminación de rastros para evitar detección y complicar la atribución.

Los hackers han atacado instancias de Citrix NetScaler ADC y NetScaler Gateway afectadas por CVE-2023-3519, utilizando métodos como RDP, web shells y malware como CloudedHope—una herramienta de acceso remoto desarrollada en Golang—para moverse lateralmente y mantener persistencia en los sistemas comprometidos.

El acceso frecuente a los entornos cloud de las víctimas parece estar dirigido a la recopilación de inteligencia. En algunos casos, Silk Typhoon ha comprometido proveedores SaaS para acceder a entornos de clientes descendentes, incluyendo bandejas de entrada de correo electrónico. CrowdStrike indica que, en al menos dos incidentes, vulnerabilidades zero-day permitieron al grupo infiltrarse en entornos cloud de SaaS, mapear la lógica del software y moverse lateralmente para comprometer objetivos adicionales.

Silk Typhoon se enfoca en vectores de acceso poco monitoreados y demuestra conocimiento avanzado en tecnologías cloud específicas, como Entra ID, mientras limpia activamente los registros del sistema para eliminar evidencias de su presencia.

CrowdStrike destaca que las organizaciones que dependen en gran medida de servicios cloud son especialmente vulnerables a compromisos de relaciones de confianza, y que actores vinculados a estados como Murky Panda continúan usando tácticas sofisticadas para ejecutar campañas de espionaje global dirigidas a múltiples industrias.

Fuente: https://www.securityweek.com/chinese-silk-typhoon-hackers-exploited-commvault-zero-day