Grupo chinês Silk Typhoon adota novas táticas e explora ferramentas populares de TI para espionagem cibernética

O grupo de espionagem chinês Silk Typhoon (também conhecido como Hafnium), apoiado pelo Estado, está evoluindo suas táticas de ataque e passando a explorar ferramentas amplamente utilizadas em ambientes de TI, segundo relatório recente da Microsoft Threat Intelligence.

Ao invés de focar em invasões diretas a serviços em nuvem da Microsoft, o grupo vem abusando de aplicações desatualizadas e ferramentas de gerenciamento remoto para obter acesso inicial e escalar privilégios. As técnicas incluem o uso de chaves de API comprometidas, credenciais roubadas de sistemas PAM (gerenciamento de acesso privilegiado) e aplicações baseadas em nuvem, visando acesso profundo e persistente aos ambientes das vítimas.

O Silk Typhoon tem um histórico robusto de operações contra alvos estratégicos nos EUA e globalmente, incluindo setores de TI, saúde, educação superior e agências governamentais. O grupo é conhecido por sua velocidade — passando rapidamente da identificação de vulnerabilidades à exploração ativa — e por seu foco em dados sensíveis como políticas públicas, processos jurídicos e informações de interesse estratégico.

Além disso, os agentes estão utilizando técnicas como ataques de pulverização de senhas e monitoramento de repositórios públicos (como GitHub) para capturar senhas corporativas vazadas. Isso permite autenticação direta em contas empresariais, evidenciando a importância da autenticação multifator (MFA) e de políticas rígidas de senha.

O grupo também foi vinculado à exploração da falha de dia zero CVE-2025-0282, encontrada na Ivanti Pulse Connect VPN, usada para invadir provedores de serviços gerenciados e ambientes de gerenciamento remoto e de identidade.

A sofisticação e agilidade do Silk Typhoon reafirmam o desafio crescente enfrentado por empresas e governos em proteger infraestruturas críticas diante de adversários estatais bem financiados e tecnicamente habilidosos.