Um grupo de hackers patrocinado pelo Estado chinês, conhecido como Murky Panda (Silk Typhoon), explora relações de confiança em ambientes de cloud para obter acesso inicial às redes e dados de clientes finais.
O Murky Panda, também chamado de Silk Typhoon (Microsoft) e Hafnium, é conhecido por atacar organizações dos setores governamental, tecnológico, acadêmico, jurídico e de serviços profissionais na América do Norte.
Sob suas diversas denominações, o grupo está ligado a várias campanhas de cyberespionage, incluindo a onda de invasões em Microsoft Exchange em 2021, que exploraram a vulnerabilidade ProxyLogon.
Ataques mais recentes envolveram órgãos como o Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA e o Committee on Foreign Investment.
Em março, a Microsoft reportou que o Silk Typhoon começou a mirar ferramentas de remote management e serviços em cloud em ataques à cadeia de suprimentos, visando obter acesso às redes dos clientes downstream.
O Murky Panda geralmente conquista acesso inicial às redes corporativas explorando dispositivos e serviços expostos à internet, como a vulnerabilidade
CVE-2023-3519
em dispositivos Citrix NetScaler, ProxyLogon no Microsoft Exchange e
CVE-2025-0282
no Ivanti Pulse Connect VPN.
No entanto, um novo relatório da CrowdStrike demonstra que os atores maliciosos também comprometem provedores de cloud para abusar da confiança que essas empresas possuem com seus clientes.
Como provedores de cloud às vezes têm privilégios administrativos embutidos nos ambientes dos clientes, os invasores que comprometem esses provedores podem usar essa confiança para pivotar diretamente para redes e dados downstream.
Em um caso, os hackers exploraram vulnerabilidades zero-day para invadir o ambiente cloud de um provedor de SaaS.
Em seguida, obtiveram acesso ao segredo de registro da aplicação do provedor no Entra ID, o que lhes permitiu autenticar como serviço e logar nas redes dos clientes downstream.
Com esse acesso, eles puderam ler e-mails de clientes e roubar dados sensíveis.
Em outro ataque, o Murky Panda comprometeu um provedor de soluções Microsoft cloud com privilégios administrativos delegados (DAP).
Ao comprometer uma conta no grupo Admin Agent, os atacantes conquistaram direitos de Global Administrator em todos os tenants downstream.
Posteriormente, criaram contas backdoor nos ambientes dos clientes e escalaram privilégios, garantindo persistência e a capacidade de acessar e-mails e dados de aplicações.
A CrowdStrike destaca que violações via trusted relationships são raras e menos monitoradas que vetores mais comuns, como credential theft.
Ao explorar esses modelos de confiança, o Murky Panda consegue se misturar ao tráfego legítimo e manter um acesso furtivo por longos períodos.
Além das intrusões focadas em cloud, o Murky Panda utiliza diversas ferramentas e malwares customizados para manter o acesso e evitar detecção.
Os atacantes costumam implantar as web shells Neo-reGeorg (open-source) e China Chopper, ambas amplamente associadas a atores chineses de espionagem, para estabelecer persistência em servidores comprometidos.
O grupo também possui acesso a um Remote Access Trojan (RAT) customizado baseado em Linux chamado CloudedHope, permitindo controlar dispositivos infectados e se propagar pela rede.
O Murky Panda também demonstra forte segurança operacional (OPSEC), incluindo modificação de timestamps e exclusão de logs para dificultar análises forenses.
Além disso, o grupo utiliza dispositivos SOHO (small office and home office) comprometidos como servidores proxy, o que permite conduzir ataques como se estivessem dentro da infraestrutura do país-alvo.
Isso ajuda a camuflar o tráfego malicioso entre o tráfego legítimo, evitando ser detectado.
A CrowdStrike alerta que Murky Panda/Silk Typhoon é um adversário sofisticado, com habilidades avançadas e capacidade de rapidamente explorar vulnerabilidades zero-day e n-day.
O abuso das relações de confiança em cloud representa um risco significativo para organizações que utilizam provedores SaaS e de cloud.
Para se defender contra ataques do Murky Panda, a CrowdStrike recomenda que as organizações monitorem logins incomuns de service principals no Entra ID, exijam autenticação multifator (MFA) para contas de provedores de cloud, monitorem logs do Entra ID e apliquem patches rapidamente na infraestrutura cloud exposta.
“MURKY PANDA representa uma ameaça significativa a entidades governamentais, tecnológicas, jurídicas e de serviços profissionais na América do Norte, bem como a seus fornecedores com acesso a informações sensíveis”, conclui a CrowdStrike.
“Organizações que dependem fortemente de ambientes em cloud são inerentemente vulneráveis a compromissos por meio de trusted relationships nesse cenário.
Adversários com nexos na China, como MURKY PANDA, continuam a empregar tradecraft sofisticado para facilitar suas operações de espionagem, mirando diversos setores globalmente.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...