Silk Typhoon: El grupo de espionaje chino que acecha la cadena de suministro TI

Xurxo Freitas Pereira -

Microsoft ha publicado un informe que detalla las actividades de Silk Typhoon, un grupo de espionaje chino que se centra en el robo de información. Este grupo, conocido por su capacidad técnica y sus rápidos ataques, ha ampliado su alcance a soluciones TI comunes, como herramientas de gestión remota y aplicaciones en la nube, para obtener acceso inicial a las redes de sus víctimas.

Nuevas tácticas: De los exploits zero-day a la cadena de suministro

Si bien Silk Typhoon es conocido por explotar vulnerabilidades zero-day, Microsoft ha detectado un cambio en sus tácticas. Ahora, el grupo se centra en el robo de claves API y credenciales de acceso privilegiado (PAM) de proveedores de servicios TI, aplicaciones en la nube y empresas de gestión de datos en la nube. Esto les permite acceder a los entornos de los clientes de estas empresas.

Una vez dentro, Silk Typhoon realiza actividades de reconocimiento y recopilación de datos, centrándose en información relacionada con los intereses chinos, la política y administración del gobierno estadounidense, y documentos legales relacionados con investigaciones policiales.

Además del robo de API, Silk Typhoon también utiliza ataques de password spraying y otras técnicas de abuso de contraseñas. Buscan contraseñas filtradas en repositorios públicos como GitHub, lo que demuestra su minuciosidad en la fase de reconocimiento.

Objetivos y alcance de Silk Typhoon

Silk Typhoon tiene un amplio abanico de objetivos en diversos sectores y regiones geográficas, incluyendo:

  • Servicios e infraestructuras TI
  • Empresas de monitorización y gestión remota (RMM)
  • Proveedores de servicios gestionados (MSP)
  • Sanidad
  • Servicios legales
  • Educación superior
  • Defensa
  • Gobierno
  • ONGs
  • Energía

Aunque no se les ha observado atacando directamente los servicios en la nube de Microsoft, sí explotan aplicaciones sin parchear para elevar sus privilegios en las organizaciones objetivo. Una vez dentro, abusan de las aplicaciones y servicios presentes, incluidos los de Microsoft, para lograr sus objetivos de espionaje.

Recomendaciones de Microsoft para protegerse

Microsoft recomienda una serie de medidas para mitigar la amenaza de Silk Typhoon:

  • Asegurarse de que todos los dispositivos públicos estén parcheados.
  • Validar que Ivanti Pulse Connect VPN esté parcheado para solucionar la vulnerabilidad CVE-2025-0282.
  • Establecer controles estrictos y monitorizar las identidades de seguridad, como las cuentas de servicio y las aplicaciones.
  • Implementar el Azure Security Benchmark y las mejores prácticas para proteger la infraestructura de identidad.
  • Habilitar la protección de inicio de sesión de usuario basada en riesgos y automatizar la respuesta ante amenazas.
  • Asegurar que el acceso VPN esté protegido con métodos de autenticación modernos.

Además, Microsoft ofrece herramientas como Microsoft Defender XDR, Microsoft Sentinel y Microsoft Defender for Cloud Apps para detectar y responder a las actividades de Silk Typhoon. Es crucial estar al tanto de estas amenazas y tomar las medidas necesarias para proteger los sistemas.