Dans son rapport de chasse aux menaces en 2025 récemment publié, Crowdstrike a souligné une tendance intéressante: une augmentation de 136% des intrusions de nuages. Une bonne partie de cette vague est due aux «adversaires de Chine-Nexus», Panda trouble (alias le typhon de soie).
Panda trouble modus operandi
Le groupe est actif depuis au moins 2023 et se concentre principalement sur la violation des entités du gouvernement, de la technologie, du monde universitaire, des services juridiques et professionnels en Amérique du Nord et en leur volant des informations sensibles.
Le groupe est connu pour:
- Tirer parti des vulnérabilités n-days et zéro-jour dans les appareils destinés à Internet pour l’accès initial (par exemple, CVE-2023-3519, affectant Citrix Netcaler ADC et Gateway, et CVE-2025-3928, affectant la plate-forme de secours de Commvault)
- Déploiement Néo-regeorg) sur les systèmes compromis
- En utilisant CloucedHope, des logiciels malveillants Linux personnalisés avec des fonctionnalités d’accès à distance
- Utilisation de dispositifs SOHO compromis géoloqués dans les pays des cibles comme nœuds de sortie finaux, ce qui fait que les attaques semblent provenir localement
Mais, surtout, ils ont également un penchant pour compromettre les environnements cloud et utiliser les relations de confiance à l’intérieur / entre eux pour atteindre leurs victimes prévues.
Sauter à travers le (s) nuage (s)
«Dans au moins deux cas analysés par CrowdStrike, Panda trouble a exploité des vulnérabilités de jour zéro pour obtenir un accès initial à l’environnement cloud des fournisseurs de logiciels en tant que service (SaaS). Après le compromis, [the group] a déterminé la logique des environnements SAAS Cloud compromis, leur permettant de tirer parti de leur accès à ce logiciel pour se déplacer latéralement vers des clients en aval », a noté les chercheurs de Crowdstrike.
«Au moins une victime du fournisseur SaaS utilisait l’identification ENTRA pour gérer l’accès de sa demande SaaS aux données de ses clients en aval. clients.”
Les chercheurs n’ont pas nommé le fournisseur, bien que leur description semble s’adapter à celle de la violation de février 2025 de l’environnement cloud Microsoft Azure de Commvault et, à travers elle, les environnements M365 de leurs clients.
Dans une autre intrusion, Murky Panda a compromis un fournisseur de solutions Cloud Microsoft qui avait un accès croisé à un client en aval via des privilèges administratifs délégués (DAP).
Le groupe a utilisé cet accès et le Administrateur mondial privilèges et un compte utilisateur très apprécié compromis pour créer un nouvel utilisateur dans le locataire d’une victime en aval et ajouter cet utilisateur à plusieurs groupes préexistants.
«Un de ces groupes préexistants a accordé à l’utilisateur de la porte dérobée Administrateur de demande privilèges, permettant à Panda trouble d’ajouter des secrets aux directeurs de service préexistants. Avec contrôle sur ces secrets nouvellement ajoutés, [the threat actor] Authentifié avec succès en tant que directeurs de services, dégénérant ainsi leurs privilèges à ceux des directeurs de service décompétents. »
Avec ces privilèges, le groupe a été en mesure de lire des e-mails et d’ajouter des secrets aux enregistrements de demande et aux directeurs de service (pour plus de persistance).
«Murky Panda est actuellement l’un des rares adversaires suivis qui mènent des compromis sur le cloud. En raison de la rareté de l’activité, ce vecteur d’accès initial à l’environnement cloud d’une victime reste relativement sous-surmonté par rapport aux vecteurs d’accès initiaux plus importants tels que les comptes de défense valides et exploite des applications publiques qui ont fortement renvoyé les environnements de Crowdsstrike, et les recommandations de défense partagées pour des organisations qui ont fait un chemin sur Crowdsstrike, et des recommandations de défense pour les organisations pour les arbustes.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
