Selon l’article de BleepingComputer, un groupe de pirates soutenu par l’État chinois, connu sous le nom de Murky Panda (Silk Typhoon), exploite des relations de confiance dans des environnements cloud pour compromettre l’accès aux réseaux et données de clients « en aval ».

L’information met en avant une technique d’attaque reposant sur l’abus de relations de confiance entre entités cloud, permettant un accès initial aux réseaux et aux données des organisations interconnectées.

Murky Panda est déjà lié à plusieurs campagnes de cyberespionnage, dont les attaques ProxyLogon contre Microsoft Exchange en 2021, mais aussi des intrusions récentes contre le département du Trésor américain (OFAC et comité sur les investissements étrangers). Depuis 2024, le groupe intensifie ses actions contre la chaîne d’approvisionnement IT, visant particulièrement les solutions de gestion à distance et les infrastructures cloud.

Les hackers obtiennent souvent un accès initial via des vulnérabilités connues comme Citrix NetScaler (CVE-2023-3519), Microsoft Exchange ou des VPN Ivanti. Mais leur innovation est ailleurs : ils compromettent directement des fournisseurs de cloud ou des partenaires Microsoft dotés de privilèges administratifs délégués (DAP). Une fois infiltrés, ils abusent de ces droits pour créer des comptes furtifs, accéder aux emails et données sensibles, et maintenir une persistance discrète.

Pour prolonger leur intrusion, Murky Panda déploie des web shells connus (Neo-reGeorg, China Chopper) et un RAT Linux custom nommé CloudedHope. Le groupe fait preuve d’une excellente OPSEC : altération d’horodatages, suppression de logs et utilisation de périphériques SOHO compromis comme relais, afin de masquer leur origine et de se fondre dans le trafic normal.

Selon CrowdStrike, l’abus du modèle de confiance dans le cloud représente une menace rare mais redoutable, précisément parce qu’elle est moins surveillée que le vol de mots de passe. Les défenseurs sont invités à monitorer les connexions suspectes dans Entra ID, appliquer le MFA systématique, renforcer la surveillance des journaux cloud et patcher rapidement les systèmes exposés. Cette campagne illustre les capacités croissantes des adversaires liés à la Chine, capables de transformer des vulnérabilités en instruments d’espionnage stratégique à grande échelle.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/murky-panda-hackers-exploit-cloud-trust-to-hack-downstream-customers/