Selon CYFIRMA, ce profil de l’acteur étatique chinois Hafnium (aussi connu sous les noms Silk Typhoon et MURKY PANDA, lié au MSS) décrit des opérations d’espionnage ciblant des secteurs critiques, principalement aux États-Unis, Royaume‑Uni, Australie, Japon, Vietnam, Canada et Mexique.

Le groupe privilégie l’exploitation d’applications exposées (souvent via zero-days) et a accentué ses attaques sur les services cloud. Les cibles techniques incluent Microsoft Exchange et SharePoint, ainsi que d’autres technologies d’entreprise. Les campagnes suivent des attaques multi‑étapes combinant vol d’identifiants, mouvement latéral et exfiltration de données. 🎯

Pour la persistance, Hafnium déploie des web shells (China Chopper, ASPXSpy) et manipule les comptes. Les actions post‑compromission incluent le dumping d’identifiants via LSASS et NTDS, le mouvement latéral par jetons volés, et l’exécution PowerShell. Le groupe mélange des outils légitimes (PsExec, Impacket) avec des malwares dédiés tels que Tarrask, PlugX et Whitebird. 🧰

Le C2 s’appuie sur des protocoles web avec encodage standard, tandis que l’exfiltration vise des stockages cloud et des référentiels d’e-mails. Les techniques d’évasion incluent la purge des journaux Windows et la dissimulation d’artefacts. ☁️🕵️

TTPs (MITRE ATT&CK) mentionnés:

  • Initial access: Exploit Public-Facing Application (T1190) — Microsoft SharePoint, Citrix Netscaler, Commvault Web Servers
  • Persistence: Web Shells (T1505.003), Account Manipulation (T1098)
  • Credential Access: LSASS Memory (T1003.001), NTDS (T1003.003)
  • Lateral Movement: Use of Stolen Tokens (T1550.001)
  • Execution: PowerShell (T1059.001)
  • Command and Control: Web Protocols (T1071.001), Standard Encoding (T1132.001)
  • Exfiltration: Exfiltration to Cloud Storage (T1567.002), Email Collection (T1114.002)
  • Defense Evasion: Clear Windows Event Logs (T1070.001), Hide Artifacts (T1564.001)

IOCs:

  • Non fournis dans le texte.

Type d’article: analyse de menace visant à documenter le profil, les techniques et les cibles d’Hafnium.

🧠 TTPs et IOCs détectés

TTPs

[‘T1190: Exploit Public-Facing Application’, ‘T1505.003: Web Shells’, ‘T1098: Account Manipulation’, ‘T1003.001: LSASS Memory’, ‘T1003.003: NTDS’, ‘T1550.001: Use of Stolen Tokens’, ‘T1059.001: PowerShell’, ‘T1071.001: Web Protocols’, ‘T1132.001: Standard Encoding’, ‘T1567.002: Exfiltration to Cloud Storage’, ‘T1114.002: Email Collection’, ‘T1070.001: Clear Windows Event Logs’, ‘T1564.001: Hide Artifacts’]

IOCs

Non fournis dans le texte.

🔗 Source originale : https://www.cyfirma.com/research/apt-profile-hafnium/

🖴 Archive : https://web.archive.org/web/20251008162646/https://www.cyfirma.com/research/apt-profile-hafnium/