# Silk Typhoon - Ataque à Cadeia de Suprimentos TI (2024-2025) > [!high] Silk Typhoon Pivota para Supply Chain de TI - Espionagem via API Keys Roubadas > Desde fins de 2024, o [[g0125-silk-typhoon|Silk Typhoon (Hafnium)]] mudou táticas para comprometer fornecedores de TI (PAM, cloud apps, RMM) e usar chaves API roubadas para acessar ambientes de clientes downstream, priorizando dados de interesse do governo chinês e investigações de law enforcement. ## Visão Geral A campanha de supply chain iniciada em fins de 2024 representa a mais recente evolução do [[g0125-silk-typhoon|Silk Typhoon (Hafnium)]], grupo de espionagem chinês patrocinado pelo MSS com o **maior footprint de targeting entre threat actors chineses**, segundo a Microsoft. Diferentemente de campanhas anteriores focadas em exploração direta de zero-days em dispositivos edge, esta operação comprometeu fornecedores de TI intermediários para acessar seus clientes downstream. A técnica central é o roubo de **chaves API** de provedores de Privileged Access Management (PAM), plataformas cloud, e empresas de gestão de dados. Com essas chaves, o Silk Typhoon acessa ambientes de clientes sem precisar explorar vulnerabilidades nos sistemas finais - tornando a detecção exponencialmente mais difícil. Os dados de interesse confirmados incluem: política e administração do governo dos EUA, investigações de law enforcement, e dados de interesse estratégico chinês - perfil idêntico ao do [[g1045-salt-typhoon|Salt Typhoon]] na campanha telecom, sugerindo coordenação de inteligência entre grupos MSS. A Microsoft identificou que dois membros do Silk Typhoon, **Yin Kecheng** e **Zhou Shuai**, foram indiciados federalmente em março de 2025, concomitantemente com a públicação do relatório sobre a campanha. ## Attack Flow ```mermaid graph TB A["🔓 Acesso inicial<br/>Zero-day em edge devices<br/>ou password spray via GitHub leaks"] --> B["🔑 Roubo de API keys<br/>PAM providers, cloud apps<br/>data management companies"] B --> C["🔄 Pivot para clientes<br/>API key usada para acessar<br/>tenants downstream"] C --> D["🔍 Reconhecimento<br/>Admin account - survey<br/>dispositivos e dados alvo"] D --> E["☁️ Pivoting cloud<br/>Entra Connect dump AD<br/>Key Vault passwords"] E --> F["📧 Exfiltração MSGraph<br/>Email + OneDrive + SharePoint<br/>via OAuth apps admin"] F --> G["🧹 Log clearing<br/>Apaga ações do ator<br/>nos dispositivos"] ``` ## Zero-Days Historicamente Explorados | CVE | Sistema | Ano | Descrição | |-----|---------|-----|-----------| | [[cve-2025-0282\|CVE-2025-0282]] | Ivanti Pulse Connect VPN | 2025 | RCE não autenticado - explorado zero-day | | [[cve-2024-3400\|CVE-2024-3400]] | Palo Alto PAN-OS firewall | 2024 | Command injection - GlobalProtect | | [[cve-2023-3519\|CVE-2023-3519]] | Citrix NetScaler ADC/Gateway | 2023 | RCE não autenticado | | [[cve-2021-26855\|CVE-2021-26855]] | Microsoft Exchange (ProxyLogon) | 2021 | SSRF para RCE - exploração em massa | ## TTPs Mapeados | Técnica | ID | Descrição | |---------|----|-----------| | Exploit Public-Facing | [[t1190-exploit-public-facing-application\|T1190]] | Zero-days em Ivanti, Palo Alto, Citrix, Exchange | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais vazadas no GitHub + password spray | | Steal App Access Token | [[t1528-steal-application-access-token\|T1528]] | Roubo de API keys de provedores PAM/cloud | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Múltiplas famílias de webshells para persistência | | Exfil via MSGraph | [[t1041-exfiltration-over-c2-channel\|T1041]] | OAuth apps + MSGraph para email/OneDrive/SharePoint | | Manipulate Trust | [[t1484-domain-trust-modification\|T1484]] | Abuso de service principals e Entra Connect | ## Técnica de Supply Chain - Detalhamento ```mermaid graph TB A["Fornecedor TI comprometido<br/>PAM / Cloud app / RMM"] --> B["API key roubada<br/>Acesso ao painel admin<br/>do fornecedor"] B --> C["Cliente A<br/>Governo local EUA"] B --> D["Cliente B<br/>Setor TI"] B --> E["Cliente C<br/>Healthcare / Defesa"] C --> F["Dados: policy gov<br/>law enforcement records<br/>interesse estratégico China"] D --> F E --> F ``` ## Covert Network O Silk Typhoon utiliza uma rede encoberta de dispositivos comprometidos para ocultar tráfego C2: - Appliances Cyberoam comprometidos - Roteadores Zyxel comprometidos - Dispositivos QNAP comprometidos Esta prática de proxy via infraestrutura legítima comprometida é compartilhada com [[g1017-volt-typhoon|Volt Typhoon]] e outros atores chineses, dificultando atribuição por geolocalização de IPs. ## Indicadores de Detecção (Microsoft Sentinel) Queries relevantes para detecção de Silk Typhoon: - Anomalous password reset - contas admin resetadas via API - Privileged logon from new ASN - primeiro login de nova rede - Suspicious sign-in by AADConnect account - New service principal running queries - Anomaly of MailItem access by GraphAPI - SharePoint downloads by IP - NTDS theft ## Detecção e Defesa **Mitigações prioritárias:** - Aplicar imediatamente CVE-2025-0282 (Ivanti) e CVE-2024-3400 (Palo Alto) - Auditar todas as chaves API de provedores PAM e cloud com acesso a ambientes downstream - Implementar MFA em todos os fluxos de autenticação, especialmente Entra Connect - Monitorar atividade de Microsoft Graph API para exfiltração de email e documentos - Revisar service principals com permissões administrativas em toda a tenant ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2025/03/05/silk-typhoon-targeting-it-supply-chain/) Microsoft - Silk Typhoon Targeting IT Supply Chain (2025) - [2](https://thehackernews.com/2025/03/china-linked-silk-typhoon-expands-cyber.html) The Hacker News - Silk Typhoon Expands Cyber Attacks to IT Supply Chain (2025) - [3](https://cyberscoop.com/silk-typhoon-targets-it-services/) CyberScoop - Silk Typhoon Shifted to Target IT Management Services (2025) - [4](https://rhisac.org/threat-intelligence/silk-typhoon-it-supply-chain/) RH-ISAC - Silk Typhoon Targeting IT Supply Chain in Multiple Sectors (2025)