Microsoft ha lanzado una advertencia sobre el grupo de ciberespionaje chino Silk Typhoon, que ha cambiado su estrategia y ahora ataca herramientas de gestión remota y servicios en la nube en la cadena de suministro IT.
Este cambio les permite acceder a las redes de los clientes aguas abajo, poniendo en riesgo industrias clave como el gobierno, servicios IT, salud, defensa, educación, ONG y energía.
¿Cómo Opera Silk Typhoon?
Microsoft informa que Silk Typhoon:
✅ Explota vulnerabilidades sin parchear para escalar privilegios dentro de las organizaciones.
✅ Roba credenciales y claves API de proveedores de IT y gestión de acceso.
✅ Abusa de aplicaciones en la nube (incluyendo servicios de Microsoft) para el espionaje.
✅ Limpia los registros tras robar datos, dejando mínimos rastros de su actividad.
Ataques a la Cadena de Suministro IT
Silk Typhoon ya era conocido por ataques a entidades de EE.UU., como la Oficina de Control de Activos Extranjeros (OFAC) en diciembre de 2024.
Ahora han cambiado de enfoque, utilizando credenciales robadas de proveedores de IT para acceder a redes de clientes. También buscan claves filtradas en GitHub y utilizan ataques de fuerza bruta para obtener contraseñas.
Antes, Silk Typhoon usaba fallos de seguridad en dispositivos de borde (VPNs y RDPs), pero ahora han evolucionado:
Se centran en hackear proveedores de servicios IT (MSP) en lugar de empresas individuales.
☁️ Aprovechan entornos en la nube para moverse sigilosamente y robar credenciales.
️ No usan malware tradicional, sino que explotan aplicaciones en la nube para evitar detección.
Exploit de Vulnerabilidades Recientes
El grupo sigue utilizando vulnerabilidades para sus ataques, incluyendo:
CVE-2025-0282 – Falla en Ivanti Pulse Connect VPN (día cero).
CVE-2024-3400 – Vulnerabilidad en Palo Alto Networks GlobalProtect.
CVE-2023-3519 – Ejecución remota en Citrix NetScaler ADC y NetScaler Gateway.
Además, han construido una “CovertNetwork” de dispositivos comprometidos, incluyendo firewalls Cyberoam, routers Zyxel y NAS QNAP, usados para lanzar ataques y ocultar actividad maliciosa.
¿Cómo Protegerse de estos Ataques?
Microsoft ha publicado indicadores de compromiso y reglas de detección actualizadas. Se recomienda a todas las organizaciones reforzar su seguridad y monitorear los accesos sospechosos en sus redes.
¡La ciberseguridad es clave! Si trabajas en IT, revisa los informes de Microsoft y actualiza tus herramientas de detección. ⚡