Microsoft lance une mise en garde contre "Silk Typhoon", un groupe d'espionnage chinois
Microsoft lance une mise en garde contre "Silk Typhoon", un groupe d'espionnage chinois, qui a espionné la technologie du cloud en se focalisant sur les outils de gestion à distance et les applications cloud
Microsoft a lancé une mise en garde contre « Silk Typhoon », un groupe d'espionnage chinois, qui a espionné la technologie du cloud. Ce groupe, qui a déjà été accusé d'être à l'origine de brèches dans le Trésor public américain, s'attaque désormais aux chaînes d'approvisionnement informatique. Selon un article publié sur le blog de Microsoft Security, le groupe se concentre sur des solutions informatiques courantes telles que les outils de gestion à distance et les applications cloud pour obtenir un accès initial.
Silk Typhoon, un groupe bien financé et techniquement efficace, est connu pour rendre rapidement opérationnels des exploits pour des vulnérabilités de type « zero-day » découvertes dans des dispositifs de pointe. Il possède l'une des plus grandes empreintes de ciblage parmi les acteurs chinois de la menace, en raison de sa nature opportuniste qui consiste à agir en fonction des découvertes faites dans le cadre d'opérations de recherche de vulnérabilités. Dès qu'ils découvrent un dispositif vulnérable destiné au public, ils passent rapidement à la phase d'exploitation.
Le groupe a ciblé un large éventail de secteurs et de régions géographiques, notamment des services et infrastructures informatiques, des sociétés de surveillance et de gestion à distance (RMM), des fournisseurs de services gérés (MSP) et leurs filiales, des services de santé, des services juridiques, l'enseignement supérieur, la défense, le gouvernement, des organisations non gouvernementales (ONG), l'énergie, et d'autres encore, situés aux États-Unis et dans le monde entier.
Silk Typhoon a fait preuve de compétence pour comprendre comment les environnements cloud sont déployés et configurés. Cela lui permet de se déplacer latéralement, de maintenir la persistance et d'exfiltrer rapidement des données dans les environnements des victimes. Depuis que Microsoft Threat Intelligence a commencé à suivre cet acteur de la menace en 2020, Silk Typhoon a utilisé une variété de shells web pour exécuter des commandes, maintenir la persistance et exfiltrer des données des environnements des victimes.
Microsoft a directement notifié les clients ciblés ou compromis, en leur fournissant des informations importantes nécessaires pour sécuriser leurs environnements. Microsoft publie ces informations afin de sensibiliser aux activités malveillantes récentes et anciennes de Silk Typhoon, de fournir des conseils en matière d'atténuation et de chasse, et de contribuer à perturber les opérations de cet acteur de la menace.
Activité récente de Silk Typhoon
Compromission de la chaîne d'approvisionnement
Depuis la fin de l'année 2024, Microsoft Threat Intelligence a mené des recherches approfondies et suivi les attaques en cours menées par Silk Typhoon. Ces efforts ont considérablement amélioré la compréhension des opérations de l'acteur et ont permis de découvrir de nouvelles techniques utilisées par l'acteur. En particulier, Silk Typhoon a été observé en train d'abuser de clés API volées et d'informations d'identification associées à la gestion de l'accès aux privilèges (PAM), aux fournisseurs d'applications cloud et aux sociétés de gestion de données cloud, permettant à l'acteur de la menace d'accéder aux environnements clients en aval de ces sociétés. Les entreprises de ces secteurs sont des cibles potentielles pour l'acteur de la menace.
Les observations ci-dessous ont été faites par Microsoft une fois que Silk Typhoon a réussi à voler la clé API :
- Silk Typhoon a utilisé des clés API volées pour accéder aux clients/locataires en aval de l'entreprise initialement compromise.
- En s'appuyant sur l'accès obtenu via la clé API, l'acteur a effectué une reconnaissance et une collecte de données sur les appareils ciblés via un compte administrateur. Les données d'intérêt se recoupent avec des intérêts basés en Chine, la politique et l'administration du gouvernement américain, ainsi que les procédures judiciaires et les documents liés aux enquêtes des forces de l'ordre.
- D'autres techniques ont été identifiées, notamment la réinitialisation du compte administrateur par défaut via la clé API, l'implantation d'un shell web, la création d'utilisateurs supplémentaires et l'effacement des journaux des actions effectuées par l'acteur.
- Jusqu'à présent, les victimes de cette activité en aval se trouvaient principalement dans les administrations locales et d'État, ainsi que dans le secteur informatique.
Pulvérisation et abus de mots de passe
Silk Typhoon a également obtenu un accès initial en réussissant des attaques par pulvérisation de mot de passe et d'autres techniques d'abus de mot de passe, y compris la découverte de mots de passe par reconnaissance. Dans cette activité de reconnaissance, Silk Typhoon a exploité des fuites de mots de passe d'entreprise sur des référentiels publics, tels que GitHub, et a réussi à s'authentifier sur le compte de l'entreprise.
Cela démontre le niveau d'effort que l'acteur de la menace met dans sa recherche et sa reconnaissance pour collecter des informations sur les victimes et souligne l'importance de l'hygiène des mots de passe et de l'utilisation de l'authentification multifactorielle (MFA) sur tous les comptes.
Les TTP de Silk Typhoon
Accès initial
Silk Typhoon a mené des attaques d'accès initial contre des cibles d'intérêt en développant des exploits de type « zero-day » ou en découvrant et en ciblant des services et des fournisseurs de logiciels tiers vulnérables.
Silk Typhoon a également été observé en train d'obtenir un accès initial par le biais d'informations d'identification compromises. Les logiciels ou services ciblés pour l'accès initial se concentrent sur les fournisseurs informatiques, la gestion des identités, la gestion des accès privilégiés et les solutions RMM.
En janvier 2025, Silk Typhoon a également été observé en train d'exploiter une vulnérabilité zero-day dans le VPN Ivanti Pulse Connect (CVE-2025-0282). Le centre de renseignement sur les menaces de Microsoft a signalé l'activité à Ivanti, ce qui a conduit à une résolution rapide de l'exploit critique, réduisant de manière significative la période pendant laquelle des acteurs de menace hautement qualifiés et sophistiqués ont pu exploiter l'exploit.
Déplacement latéral vers le cloud
Une fois qu'une victime a été compromise, Silk Typhoon est connu pour utiliser des tactiques communes mais efficaces pour se déplacer latéralement des environnements sur site vers les environnements cloud. Une fois que l'acteur de la menace a accédé à un environnement sur site, il cherche à vider Active Directory, à voler les mots de passe dans les coffres-forts et à escalader les privilèges.
En outre, Silk Typhoon a été observé en train de cibler les serveurs Microsoft AADConnect dans le cadre de ces activités post-compromission. AADConnect (désormais Entra Connect) est un outil qui synchronise Active Directory sur site avec Entra ID (anciennement Azure AD). Une compromission réussie de ces serveurs pourrait permettre à l'acteur d'escalader ses privilèges, d'accéder aux environnements sur site et dans le cloud, et de se déplacer latéralement.
Manipulation des principaux services/applications
Lors de l'analyse de la tradecraft post-compromission, Microsoft a identifié que Silk Typhoon abusait des principes de service et des applications OAuth avec des autorisations administratives pour réaliser l'exfiltration de données de messagerie, OneDrive et SharePoint par le biais de MSGraph. Tout au long de l'utilisation de cette technique, Silk Typhoon a été observé en train d'obtenir l'accès à une application déjà autorisée au sein du locataire afin de récolter des données de messagerie et d'ajouter ses propres mots de passe à l'application.
Grâce à cet accès, les acteurs ont pu voler des informations sur les courriels via l'API MSGraph.
Silk Typhoon a également été observé en train de compromettre des applications multi-locataires, permettant potentiellement aux acteurs de se déplacer d'un locataire à l'autre, d'accéder à des ressources supplémentaires au sein des locataires et d'exfiltrer des données.
Si l'application compromise disposait de privilèges pour interagir avec l'API Exchange Web Services (EWS), les acteurs de la menace ont été vus en train de compromettre des données de messagerie via EWS.
Dans certains cas, Silk Typhoon a créé des applications Entra ID afin de faciliter le vol de données. Les acteurs nommaient généralement l'application de manière à se fondre dans l'environnement en utilisant des services légitimes ou des thèmes Office 365.
Utilisation de réseaux clandestins
Silk Typhoon est connu pour utiliser des réseaux clandestins afin de dissimuler ses activités malveillantes. Ces réseaux, répertoriés par Microsoft sous le nom de « CovertNetwork », font référence à un ensemble d'adresses IP de sortie constituées de dispositifs compromis ou loués qui peuvent être utilisés par un ou plusieurs acteurs de la menace.
Silk Typhoon a été observé en train d'utiliser un réseau clandestin composé d'appareils Cyberoam, de routeurs Zyxel et d'appareils QNAP compromis. L'utilisation de réseaux clandestins est devenue une tactique courante chez divers acteurs de la menace, en particulier les acteurs chinois.
Depuis 2021, Silk Typhoon a été observé en train de cibler et de compromettre des serveurs Microsoft Exchange vulnérables et non corrigés, GlobalProtect Gateway sur les pare-feu Palo Alto Networks, les appliances Citrix NetScaler, les appliances Ivanti Pulse Connect Secure, et d'autres encore.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Répondre avec citation
Partager