Microsoft avertit que le groupe de menaces de cyberespionnage chinois « Silk Typhoon » a modifié ses tactiques, ciblant désormais les outils de gestion à distance et les services cloud dans les attaques de la chaîne d’approvisionnement qui leur donnent accès aux clients en aval.
Le géant de la technologie a confirmé des violations dans de nombreux secteurs, notamment le gouvernement, les services informatiques, la santé, la défense, l’éducation, les ONG et l’énergie.
« Ils [Silk Typhoon] exploitent des applications non corrigées qui leur permettent d’élever leur accès dans des organisations ciblées et de mener d’autres activités malveillantes », lit-on dans le rapport de Microsoft.
« Après avoir réussi à compromettre une victime, Silk Typhoon utilise les clés et les informations d’identification volées pour infiltrer les réseaux des clients où ils peuvent ensuite abuser d’une variété d’applications déployées, y compris les services Microsoft et autres, pour atteindre leurs objectifs d’espionnage. »
Un typhon de soie prend d’assaut les chaînes d’approvisionnement informatiques
Silk Typhoon est un groupe d’espionnage parrainé par l’État chinois connu pour avoir piraté le bureau de l’Office of Foreign Assets Control (OFAC) des États-Unis début décembre 2024 et volé des données au Committee on Foreign Investment in the United States (CFIUS).
Microsoft rapporte que Silk Typhoon a changé de tactique autour de cette période, abusant des clés API volées et des informations d’identification compromises pour les fournisseurs informatiques, la gestion des identités, la gestion des accès privilégiés et les solutions RMM, qui sont ensuite utilisées pour accéder aux réseaux et aux données des clients en aval.
Microsoft affirme que les attaquants analysent les référentiels GitHub et d’autres ressources publiques pour localiser les clés d’authentification ou les informations d’identification divulguées, puis les utilisent pour violer les environnements. Les acteurs de la menace sont également connus pour utiliser des attaques par pulvérisation de mots de passe pour accéder à des informations d’identification valides.
Auparavant, les acteurs de la menace exploitaient principalement les failles zero-day et n-day dans les périphériques périphériques publics pour obtenir un accès initial, installer des shells Web, puis se déplacer latéralement via des VPN et des RDP compromis.
Le passage de violations au niveau de l’organisation à des piratages au niveau des MSP permet aux attaquants de se déplacer dans des environnements cloud, de voler des informations d’identification de synchronisation Active Directory (AADConnect) et d’abuser des applications OAuth pour une attaque beaucoup plus furtive.
Les acteurs de la menace ne s’appuient plus sur les logiciels malveillants et les shells Web, Silk Typhoon exploitant désormais les applications cloud pour voler des données, puis effacer les journaux, ne laissant qu’une trace minimale derrière eux.
Selon les observations de Microsoft, Silk Typhoon continue d’exploiter les vulnérabilités parallèlement à ses nouvelles tactiques, parfois sous forme de zéro jour, pour l’accès initial.
Plus récemment, le groupe de menaces a été observé en train d’exploiter une faille critique d’escalade de privilèges VPN Ivanti Pulse Connect (CVE-2025-0282) comme un jour zéro pour violer les réseaux d’entreprise.
Auparavant, en 2024, Silk Typhoon exploitait CVE-2024-3400, une vulnérabilité d’injection de commandes dans Palo Alto Networks GlobalProtect, et CVE-2023-3519, une faille d’exécution de code à distance dans Citrix NetScaler ADC et NetScaler Gateway.
Microsoft affirme que les auteurs de la menace ont créé un » réseau secret » composé d’appliances Cyberoam compromises, de routeurs Zyxel et d’appareils QNAP, qui sont utilisés pour lancer des attaques et masquer les activités malveillantes.
Microsoft a répertorié des indicateurs mis à jour des règles de compromission et de détection qui reflètent le dernier changement de tactique de Silk Typhoon au bas de son rapport, et il est recommandé aux défenseurs d’ajouter les informations disponibles à leurs outils de sécurité pour détecter et bloquer toute attaque en temps opportun.