Microsoft lance une mise en garde contre "Silk Typhoon", un groupe d'espionnage chinois, qui se focalise sur les outils de gestion à distance et les applications cloud

Microsoft lance une mise en garde contre "Silk Typhoon", un groupe d'espionnage chinois, qui a espionné la technologie du cloud en se focalisant sur les outils de gestion à distance et les applications cloud

Microsoft a lancé une mise en garde contre « Silk Typhoon », un groupe d'espionnage chinois, qui a espionné la technologie du cloud. Ce groupe, qui a déjà été accusé d'être à l'origine de brèches dans le Trésor public américain, s'attaque désormais aux chaînes d'approvisionnement informatique. Selon un article publié sur le blog de Microsoft Security, le groupe se concentre sur des solutions informatiques courantes telles que les outils de gestion à distance et les applications cloud pour obtenir un accès initial.

Silk Typhoon, un groupe bien financé et techniquement efficace, est connu pour rendre rapidement opérationnels des exploits pour des vulnérabilités de type « zero-day » découvertes dans des dispositifs de pointe. Il possède l'une des plus grandes empreintes de ciblage parmi les acteurs chinois de la menace, en raison de sa nature opportuniste qui consiste à agir en fonction des découvertes faites dans le cadre d'opérations de recherche de vulnérabilités. Dès qu'ils découvrent un dispositif vulnérable destiné au public, ils passent rapidement à la phase d'exploitation.

Le groupe a ciblé un large éventail de secteurs et de régions géographiques, notamment des services et infrastructures informatiques, des sociétés de surveillance et de gestion à distance (RMM), des fournisseurs de services gérés (MSP) et leurs filiales, des services de santé, des services juridiques, l'enseignement supérieur, la défense, le gouvernement, des organisations non gouvernementales (ONG), l'énergie, et d'autres encore, situés aux États-Unis et dans le monde entier.


Silk Typhoon a fait preuve de compétence pour comprendre comment les environnements cloud sont déployés et configurés. Cela lui permet de se déplacer latéralement, de maintenir la persistance et d'exfiltrer rapidement des données dans les environnements des victimes. Depuis que Microsoft Threat Intelligence a commencé à suivre cet acteur de la menace en 2020, Silk Typhoon a utilisé une variété de shells web pour exécuter des commandes, maintenir la persistance et exfiltrer des données des environnements des victimes.

Microsoft a directement notifié les clients ciblés ou compromis, en leur fournissant des informations importantes nécessaires pour sécuriser leurs environnements. Microsoft publie ces informations afin de sensibiliser aux activités malveillantes récentes et anciennes de Silk Typhoon, de fournir des conseils en matière d'atténuation et de chasse, et de contribuer à perturber les opérations de cet acteur de la menace.

Activité récente de Silk Typhoon

Compromission de la chaîne d'approvisionnement

Depuis la fin de l'année 2024, Microsoft Threat Intelligence a mené des recherches approfondies et suivi les attaques en cours menées par Silk Typhoon. Ces efforts ont considérablement amélioré la compréhension des opérations de l'acteur et ont permis de découvrir de nouvelles techniques utilisées par l'acteur. En particulier, Silk Typhoon a été observé en train d'abuser de clés API volées et d'informations d'identification associées à la gestion de l'accès aux privilèges (PAM), aux fournisseurs d'applications cloud et aux sociétés de gestion de données cloud, permettant à l'acteur de la menace d'accéder aux environnements clients en aval de ces sociétés. Les entreprises de ces secteurs sont des cibles potentielles pour l'acteur de la menace.

Les observations ci-dessous ont été faites par Microsoft une fois que Silk Typhoon a réussi à voler la clé API :

• Silk Typhoon a utilisé des clés API volées pour accéder aux clients/locataires en aval de l'entreprise initialement compromise.
• En s'appuyant sur l'accès obtenu via la clé API, l'acteur a effectué une reconnaissance et une collecte de données sur les appareils ciblés via un compte administrateur. Les données d'intérêt se recoupent avec des intérêts basés en Chine, la politique et l'administration du gouvernement américain, ainsi que les procédures judiciaires et les documents liés aux enquêtes des forces de l'ordre.
• D'autres techniques ont été identifiées, notamment la réinitialisation du compte administrateur par défaut via la clé API, l'implantation d'un shell web, la création d'utilisateurs supplémentaires et l'effacement des journaux des actions effectuées par l'acteur.
• Jusqu'à présent, les victimes de cette activité en aval se trouvaient principalement dans les administrations locales et d'État, ainsi que dans le secteur informatique.

Pulvérisation et abus de mots de passe

Silk Typhoon a également obtenu un accès initial en réussissant des attaques par pulvérisation de mot de passe et d'autres techniques d'abus de mot de passe, y compris la découverte de mots de passe par reconnaissance. Dans cette activité de reconnaissance, Silk Typhoon a exploité des fuites de mots de passe d'entreprise sur des référentiels publics, tels que GitHub, et a réussi à s'authentifier sur le compte de l'entreprise.

Cela démontre le niveau d'effort que l'acteur de la menace met dans sa recherche et sa reconnaissance pour collecter des informations sur les victimes et souligne l'importance de l'hygiène des mots de passe et de l'utilisation de l'authentification multifactorielle (MFA) sur tous les comptes.

Les TTP de Silk Typhoon

Accès initial

Silk Typhoon a mené des attaques d'accès initial contre des cibles d'intérêt en développant des exploits de type « zero-day » ou en découvrant et en ciblant des services et des fournisseurs de logiciels tiers vulnérables.

Silk Typhoon a également été observé en train d'obtenir un accès initial par le biais d'informations d'identification compromises. Les logiciels ou services ciblés pour l'accès initial se concentrent sur les fournisseurs informatiques, la gestion des identités, la gestion des accès privilégiés et les solutions RMM.

En janvier 2025, Silk Typhoon a également été observé en train d'exploiter une vulnérabilité zero-day dans le VPN Ivanti Pulse Connect (CVE-2025-0282). Le centre de renseignement sur les menaces de Microsoft a signalé l'activité à Ivanti, ce qui a conduit à une résolution rapide de l'exploit critique, réduisant de manière significative la période pendant laquelle des acteurs de menace hautement qualifiés et sophistiqués ont pu exploiter l'exploit.

Déplacement latéral vers le cloud

Une fois qu'une victime a été compromise, Silk Typhoon est connu pour utiliser des tactiques communes mais efficaces pour se déplacer latéralement des environnements sur site vers les environnements cloud. Une fois que l'acteur de la menace a accédé à un environnement sur site, il cherche à vider Active Directory, à voler les mots de passe dans les coffres-forts et à escalader les privilèges.

En outre, Silk Typhoon a été observé en train de cibler les serveurs Microsoft AADConnect dans le cadre de ces activités post-compromission. AADConnect (désormais Entra Connect) est un outil qui synchronise Active Directory sur site avec Entra ID (anciennement Azure AD). Une compromission réussie de ces serveurs pourrait permettre à l'acteur d'escalader ses privilèges, d'accéder aux environnements sur site et dans le cloud, et de se déplacer latéralement.

Manipulation des principaux services/applications

Lors de l'analyse de la tradecraft post-compromission, Microsoft a identifié que Silk Typhoon abusait des principes de service et des applications OAuth avec...