g0125-silk-typhoon

# Silk Typhoon > [!danger] Silk Typhoon (HAFNIUM) - MSS China, Pioneiro do ProxyLogon, Mestre de Supply Chain IT > **Silk Typhoon** (anteriormente HAFNIUM) e um dos grupos de espionagem mais capacitados vinculados ao **Ministerio de Segurança do Estado da China (MSS)**, ativo desde pelo menos 2021 com uma das maiores campanhas de comprometimento em massa da historia: a exploração do ProxyLogon contra 250.000+ servidores Exchange globalmente. Em 2024, o grupo evoluiu para **ataques de supply chain de TI** - comprometendo provedores de servicos gerenciados (MSPs), ferramentas PAM e APIs cloud para acessar alvos finais sem contato direto. ## Visão Geral **Silk Typhoon** foi identificado pela Microsoft Threat Intelligence em marco de 2025 como o novo trackname para o grupo anteriormente conhecido como **HAFNIUM** - o ator por tras da exploração zero-day do Exchange ProxyLogon (CVE-2021-26855) que comprometeu 250.000+ organizacoes em poucas semanas de 2021. A mudança de nome reflete uma evolução significativa nas TTPs e perfil de alvo. **Evolução do grupo:** - **HAFNIUM (2021)**: exploração massiva zero-day do Microsoft Exchange via ProxyLogon; webshells para acesso persistente; alvos diretos em defesa, pesquisa, saúde nos EUA - **Silk Typhoon (2024-2026)**: shift para **comprometimento de supply chain de TI** - atacar prestadores de servicos de TI, MSPs, ferramentas de gerenciamento de identidade (PAM) e APIs cloud para acessar clientes finais de alto valor sem alertar o alvo diretamente **Diferencial critico do Silk Typhoon moderno:** - **Roubo de chaves API e tokens OAuth**: o grupo compromete provedores de servicos e rouba chaves de API de longa duracao para manter acesso sem malware no alvo final - **Abuso de Entra Connect**: compromete servidores Microsoft Entra Connect (AD Sync) para obter credenciais sincronizadas entre AD on-premises e Azure - acesso privilegiado a toda a infraestrutura cloud - **Proxies CovertNetwork**: usa roteadores comprometidos (Cyberoam, Zyxel, QNAP) como nos de saida para mascarar origem dos ataques - **Dois membros indiciados**: Yin Kecheng e Zhou Shuai foram indiciados pelo DOJ americano em marco de 2025 **Contexto MSS:** ao contrario de grupos PLA (como [[g0006-apt1|APT1]] ou [[g1017-volt-typhoon|Volt Typhoon]]), o Silk Typhoon e atribuido ao MSS - o servico de inteligência civil da China - e foca em coleta de inteligência estratégica ampla: TI, governo, finanças, pesquisa, juridico, saúde. ```mermaid graph TB A["Alvo: MSP / PAM Tool IT Provider comprometido T1190 - Exploit inicial"] --> B["Roubo de API Keys Tokens OAuth e chaves T1550.001 - App Access Token"] B --> C["Pivoting para Clientes Acesso via API legitima T1021.007 - Cloud Services"] C --> D["Entra Connect Abuse AD Sync credentials T1078.004 - Cloud Accounts"] D --> E["Reconhecimento Cloud MSGraph API exploration T1098 - Account Manipulation"] E --> F["Exfiltração Persistente Sem malware no alvo final T1048 - Exfiltração alternativa"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#7b241c,color:#fff style E fill:#196f3d,color:#fff style F fill:#6c3483,color:#fff ``` ## Campanhas Documentadas ### HAFNIUM Exchange ProxyLogon - Marco 2021 A campanha mais impactante do grupo em escala absoluta: - **CVE-2021-26855** (ProxyLogon): SSRF no Exchange pre-autenticação que permitia bypass completo de autenticação - CVE-2021-26857, CVE-2021-26858, CVE-2021-27065: técnicas de post-authentication para escrita de webshell - **250.000+ organizacoes** comprometidas globalmente antes do patch da Microsoft (divulgado em 2 de marco de 2021, explorado em massa antes) - Alvos prioritarios nos EUA: pesquisadores de doencas infecciosas, escritorios de advocacia, empreiteiras de defesa, ONGs, setor de manufatura - O grupo instalava webshells ASP.NET para acesso persistente pos-patch - CISA emitiu diretiva de emergência (ED 21-02) exigindo patches imediatos em servidores federais ### Silk Typhoon IT Supply Chain - 2024 a 2026 Evolução documentada pela Microsoft Threat Intelligence em marco de 2025: - **Comprometimento de provedores PAM** (Privileged Access Management): acesso a ferramentas de gerenciamento de identidade de MSPs com centenas de clientes finais - **Roubo de API keys de cloud providers**: chaves de longa duracao de AWS, Azure, GCP roubadas de MSPs para acesso direto a ambientes de clientes - **Exploração de CVE-2025-0282** (Ivanti Connect Secure): RCE pre-auth em appliances VPN para acesso inicial a redes corporativas - **Exploração de CVE-2024-3400** (Palo Alto PAN-OS): command injection em GlobalProtect - acesso a redes de alto valor - **Abuso de servidores Entra Connect**: comprometimento de servidores de sincronizacao AD-to-Azure para obter credenciais cloud privilegiadas - Dois membros - **Yin Kecheng** e **Zhou Shuai** - indiciados pelo DOJ americano ### Exploração Citrix CVE-2023-3519 - 2023 Exploração de RCE sem autenticação em Citrix ADC/Gateway: - Comprometimento de MSPs e provedores de servicos para acesso a clientes finais em governo e defesa - Consistente com o modelo de supply chain que virou assinatura do grupo ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Pos-comprometimento, movimento lateral em redes on-premises | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais LSASS em hosts Windows comprometidos | | China Chopper | Webshell | Webshell minimalista usada em servidores Exchange comprometidos (2021) | | CovertNetwork | Proxy Network | Rede de roteadores SOHO comprometidos (Cyberoam, Zyxel, QNAP) como proxy de saida | | Scripts MSGraph | Abuso de API | Scripts de exploração de Microsoft Graph API para reconhecimento em Azure AD | ## Timeline ```mermaid timeline title Silk Typhoon (HAFNIUM) - Linha do Tempo 2021-01 : HAFNIUM explora ProxyLogon em massa : 250.000+ servidores Exchange comprometidos 2021-03 : Microsoft divulga patches ProxyLogon : CISA emite diretiva de emergencia ED 21-02 2021-03 : NSA/CISA/FBI atribuem a atores patrocinados China 2023 : Exploração Citrix CVE-2023-3519 : MSPs como vetores de supply chain 2024 : Evolução para IT supply chain attacks : Roubo de API keys e tokens OAuth : Abuso de Entra Connect 2025-03 : Microsoft renomeia HAFNIUM para Silk Typhoon : Indiciamento de Yin Kecheng e Zhou Shuai (DOJ) : CVE-2025-0282 e CVE-2024-3400 documentados 2026 : Operacoes continuas - foco em cloud e MSPs ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | ProxyLogon, CVE-2025-0282 (Ivanti), CVE-2024-3400 (PAN-OS) | | Persistence | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Webshells em servidores Exchange pos-ProxyLogon | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Uso de ferramentas legitimas e API nativas para evitar detecção | | Persistence | Cloud Accounts | [[t1078-004-cloud-accounts\|T1078.004]] | Abuso de contas cloud via Entra Connect e tokens roubados | | Lateral Movement | Cloud Services | [[t1021-007-cloud-services\|T1021.007]] | Pivoting para clientes via API keys de MSPs comprometidos | | Persistence | Application Access Token | [[t1550-001-app-access-token\|T1550.001]] | Tokens OAuth e API keys de longa duracao roubadas de MSPs | | Persistence | Account Manipulation | [[t1098-account-manipulation\|T1098]] | Manipulação de contas Entra ID e service principals no Azure | | Exfiltration | Alternative Protocol | [[t1048-exfiltration-alternative-protocol\|T1048]] | Exfiltração de dados via canais alternativos, evitando detecção | ## Relevância para o Brasil e LATAM > [!warning] Risco Alto para MSPs e Provedores de Cloud no Brasil > O Silk Typhoon representa risco direto para o ecossistema de TI brasileiro: o modelo de comprometimento de MSPs e provedores de servicos cloud e especialmente perigoso para paises emergentes onde a terceirizacao de TI e ampla. MSPs brasileiros que gerenciam redes de governo, defesa, energia e finanças sao vetores potenciais de pivot para o Silk Typhoon. A presenca de subsidiarias de empresas americanas no Brasil (alvos historicos do HAFNIUM) aumenta o risco de comprometimento por island-hopping. **Vetores de risco para o Brasil:** - **MSPs brasileiros**: provedores que gerenciam redes de governo federal, bancos e defesa sao o vetor preferido do Silk Typhoon moderno - **Servidores Exchange legados**: organizacoes brasileiras que ainda nao migraram do Exchange on-premises para Exchange Online sao vulneraveis a variantes ProxyLogon - **Subsidiarias de multinacionais americanas**: empresas com sede nos EUA e operações no Brasil compartilham infraestrutura cloud e identidade - comprometimento da matriz impacta o Brasil - **Setor juridico**: escritorios de advocacia com clientes multinacionais e dados M&A sigilosos sao alvos historicos do grupo **Acoes preventivas:** - Auditar todos os servidores Entra Connect/Azure AD Connect - verificar integridade e logs de sincronizacao - Rotacionar API keys e tokens OAuth de MSPs regularmente, especialmente pos-incidente - Aplicar patches urgentes para CVE-2025-0282 (Ivanti) e CVE-2024-3400 (PAN-OS) se ainda nao aplicados - Implementar monitoramento de acesso anomalo via Microsoft Graph API ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Acesso anomalo ao servidor Entra Connect fora do horario comercial | SIEM: alertas para logon no servidor AD Sync fora do padrao | | Novas service principals criadas no Azure AD sem ticket de mudança | CSPM: auditoria de Azure AD audit logs para criação de service principals | | API key de MSP usada de IP nao esperado | Cloud: alertas de acesso geografico anomalo em API keys | | Webshell `*.aspx` em diretorios OWA do Exchange | FIM: monitoramento de integridade de arquivos em diretorios IIS do Exchange | | Requisicoes HTTP anomalas para `/ecp/` ou `/owa/` com SSRF patterns | WAF/SIEM: detecção de padrao ProxyLogon em logs de acesso IIS | | Uso de China Chopper (cmd.aspx, shell.aspx) em diretorio web | EDR: detecção de webshell por comportamento (w3wp.exe executando cmd.exe) | ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2025/03/05/silk-typhoon-targeting-it-supply-chain/) Microsoft Threat Intelligence - Silk Typhoon Targeting IT Supply Chain (Mar 2025) - [2](https://www.mandiant.com/resources/blog/hafnium-china-exchange-zero-day) Mandiant - HAFNIUM China Exchange Zero-Day (2021) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-062a) CISA Advisory AA21-062A - Mitigaté Microsoft Exchange Server Vulnerabilities (2021) - [4](https://attack.mitre.org/groups/G0125) MITRE ATT&CK - HAFNIUM / Silk Typhoon (G0125) - [5](https://www.justice.gov/opa/pr/us-charges-individuals-china-based-silk-typhoon) DOJ - US Charges Individuals China-Based Silk Typhoon (Mar 2025) - [6](https://unit42.paloaltonetworks.com/silk-typhoon-supply-chain-attacks/) Unit 42 - Silk Typhoon Supply Chain Attack Analysis (2025) **Atores relacionados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g1045-salt-typhoon|Salt Typhoon]] · [[g0096-apt41|APT41]] · [[g1023-apt5|APT5]] **Campanhas:** [[hafnium-exchange-proxylogon-2021|HAFNIUM ProxyLogon 2021]] · [[silk-typhoon-it-supply-chain-2024|IT Supply Chain 2024]] **CVEs exploradas:** [[cve-2021-26855|CVE-2021-26855 ProxyLogon]] · [[cve-2025-0282|CVE-2025-0282 Ivanti]] · [[cve-2024-3400|CVE-2024-3400 PAN-OS]] **TTPs principais:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1550-001-application-access-token|T1550.001]] · [[t1078-004-cloud-accounts|T1078.004]] **Setores alvejados:** [[technology|Tecnologia]] · [[government|Governo]] · [[healthcare|Saúde]] · [[legal|Juridico]] · [[defense|Defesa]]