Группа Silk Typhoon, ранее известная как Hafnium, впервые получила известность в январе 2021 года благодаря эксплуатации нулевых уязвимостей в серверах Microsoft Exchange. Ее связь с Китаем подтверждается рядом аналитических данных и подтверждений.
Сегодня тактика группы сместилась от прямых атак на Exchange к использованию цепочки поставок IT-решений. Основным методом является получение первоначального доступа к корпоративным сетям через уязвимости в удалённых инструментах управления и облачных приложениях.
Для реализации своих целей Silk Typhoon применяет эксплойты нулевого дня, как, например, в уязвимости Ivanti Pulse Connect VPN (CVE-2025-0282). Группа также проводит атаки методом password spray, используя украденные корпоративные учетные данные, обнаруженные в публичных репозиториях, таких как GitHub.
В ход своих действий входит эксплуатация компрометированных API-ключей и учетных записей, полученных из систем управления привилегиями (PAM), облачных приложений и компаний по управлению данными. Microsoft описывает группу как «обеспеченную ресурсами и технически эффективную», что подчеркивает их способность к быстрому применению новых методов атак.
Для поддержания доступа к устройствам жертв злоумышленники регулярно используют веб-оболочки, позволяющие выполнять команды, осуществлять латеральное перемещение внутри сетей и извлекать конфиденциальные данные. Такой подход демонстрирует глубокое понимание облачной инфраструктуры и позволяет им собирать разведывательные данные через учетные записи администраторов.
Целевыми объектами атак становятся организации, предоставляющие IT-услуги и инфраструктуру, компании, занимающиеся удалённым мониторингом и управлением (RMM), MSP-провайдеры, а также учреждения здравоохранения, юридические службы, высшие учебные заведения, оборонные и государственные структуры, некоммерческие организации и энергетические компании. Географический охват атак включает США и множество других регионов мира.
Начиная с конца 2024 года, группа активно использует методы компрометации цепочки поставок, что позволяет получать доступ к системам посредством злоупотребления украденными API-ключами, а также применять различные векторы атак для обхода защитных механизмов.
Для сокрытия истинного источника атак Silk Typhoon формирует так называемую «CovertNetwork» с использованием взломанных устройств Cyberoam, маршрутизаторов Zyxel и устройств QNAP, что характерно для ряда китайских групп, действующих в рамках государственной стратегии кибершпионажа.
Отчет Microsoft Threat Intelligence акцентирует внимание на способности группы не только масштабировать атаки через множество векторов, но и быстро адаптировать тактику для проникновения в критически важные сектора экономики, что представляет серьезную угрозу корпоративной и государственной безопасности.
Изображение носит иллюстративный характер
Сегодня тактика группы сместилась от прямых атак на Exchange к использованию цепочки поставок IT-решений. Основным методом является получение первоначального доступа к корпоративным сетям через уязвимости в удалённых инструментах управления и облачных приложениях.
Для реализации своих целей Silk Typhoon применяет эксплойты нулевого дня, как, например, в уязвимости Ivanti Pulse Connect VPN (CVE-2025-0282). Группа также проводит атаки методом password spray, используя украденные корпоративные учетные данные, обнаруженные в публичных репозиториях, таких как GitHub.
В ход своих действий входит эксплуатация компрометированных API-ключей и учетных записей, полученных из систем управления привилегиями (PAM), облачных приложений и компаний по управлению данными. Microsoft описывает группу как «обеспеченную ресурсами и технически эффективную», что подчеркивает их способность к быстрому применению новых методов атак.
Для поддержания доступа к устройствам жертв злоумышленники регулярно используют веб-оболочки, позволяющие выполнять команды, осуществлять латеральное перемещение внутри сетей и извлекать конфиденциальные данные. Такой подход демонстрирует глубокое понимание облачной инфраструктуры и позволяет им собирать разведывательные данные через учетные записи администраторов.
Целевыми объектами атак становятся организации, предоставляющие IT-услуги и инфраструктуру, компании, занимающиеся удалённым мониторингом и управлением (RMM), MSP-провайдеры, а также учреждения здравоохранения, юридические службы, высшие учебные заведения, оборонные и государственные структуры, некоммерческие организации и энергетические компании. Географический охват атак включает США и множество других регионов мира.
Начиная с конца 2024 года, группа активно использует методы компрометации цепочки поставок, что позволяет получать доступ к системам посредством злоупотребления украденными API-ключами, а также применять различные векторы атак для обхода защитных механизмов.
Для сокрытия истинного источника атак Silk Typhoon формирует так называемую «CovertNetwork» с использованием взломанных устройств Cyberoam, маршрутизаторов Zyxel и устройств QNAP, что характерно для ряда китайских групп, действующих в рамках государственной стратегии кибершпионажа.
Отчет Microsoft Threat Intelligence акцентирует внимание на способности группы не только масштабировать атаки через множество векторов, но и быстро адаптировать тактику для проникновения в критически важные сектора экономики, что представляет серьезную угрозу корпоративной и государственной безопасности.
