Les Nouvelles Tactiques du Groupe d'Espionnage Chinois Silk Typhoon : Une Menace Sophistiquée pour les Infrastructures IT

Microsoft Threat Intelligence révèle une évolution significative dans les méthodes d'attaque du groupe d'espionnage chinois Silk Typhoon (également connu sous le nom de Hafnium), qui cible désormais principalement les solutions IT courantes, notamment les outils de gestion à distance et les applications cloud. Ce groupe étatique, considéré comme l'un des acteurs les plus sophistiqués parmi les groupes d'espionnage chinois, se distingue par l'ampleur exceptionnelle de son périmètre d'action, affectant particulièrement les secteurs des services IT, de la santé, des agences gouvernementales et de l'enseignement supérieur aux États-Unis et au-delà.

Leur stratégie d'infiltration repose sur l'exploitation opportuniste des vulnérabilités des systèmes exposés publiquement, avec une capacité remarquable à passer rapidement du scan de vulnérabilités à l'exploitation active. Les dernières activités du groupe démontrent une utilisation sophistiquée des clés API volées et des identifiants issus des systèmes de gestion des accès privilégiés (PAM), leur permettant d'infiltrer les environnements clients en aval pour y conduire des opérations de reconnaissance et d'exfiltration de données sensibles.

Les techniques d'attaque incluent des attaques par pulvérisation de mots de passe et l'exploitation de failles zero-day, comme celle découverte dans le VPN Ivanti Pulse Connect (CVE-2025-0282), illustrant leur capacité à compromettre les solutions d'identité et de gestion des accès privilégiés. Une fois l'accès obtenu, le groupe déploie des techniques de mouvement latéral sophistiquées, passant des environnements sur site aux infrastructures cloud en compromettant notamment les serveurs Active Directory et Microsoft AADConnect.

Pour dissimuler leurs activités, Silk Typhoon utilise un réseau clandestin composé d'appareils Cyberoam, de routeurs Zyxel et de dispositifs QNAP compromis, s'alignant sur les tendances observées chez d'autres acteurs malveillants chinois. Face à ces menaces, Microsoft recommande aux organisations de renforcer leur sécurité en appliquant les correctifs sur tous les appareils exposés, en sécurisant les comptes privilégiés et en mettant en œuvre des principes de confiance zéro pour limiter leur exposition aux risques.

Source : Infosecurity Magazine