Un sofisticado actor de amenaza de China-Nexus designado Panda turbia se ha convertido en una importante preocupación de seguridad cibernética, que lleva a cabo operaciones exhaustivas de ciberessionaje contra entidades de servicios gubernamentales, tecnológicos, académicos, legales y profesionales en América del Norte desde finales de 2024.
Este grupo de amenaza persistente avanzada demuestra capacidades excepcionales en la explotación del entorno de la nube y los compromisos de relación confiable, marcando una evolución preocupada en las actividades cibernéticas patrocinadas por el estado.
El adversario se ha establecido como una fuerza formidable a través de su capacidad para armar rápidamente las vulnerabilidades de N-Day y Zero-Day, logrando con frecuencia el acceso inicial al explotar los electrodomésticos orientados a Internet.
Las operaciones de Murky Panda se caracterizan por su enfoque en los objetivos de recopilación de inteligencia, con casos documentados de exfiltración por correo electrónico y robo de documentos confidenciales de objetivos de alto perfil.
Investigadores de crowdstrike identificado La actividad de Murky Panda es particularmente notable por su enfoque consciente de la nube y medidas avanzadas de seguridad operativa.
La artesanía sofisticada del grupo de amenazas incluye modificar las marcas de tiempo y eliminar sistemáticamente los indicadores de compromiso para evadir la detección y complicar los esfuerzos de atribución.
Sus operaciones se alinean con las actividades de intrusión de China-Nexus más amplias rastreadas por fuentes de la industria como tifón de seda.
El arsenal del grupo incluye el despliegue de proyectiles web como Neo-Regegeorg, comúnmente utilizado por los adversarios chinos y el acceso a una familia de malware personalizada de baja prevalencia designada Cloudedhope.
Además, Murky Panda ha demostrado competencia en aprovechar los dispositivos de oficina/oficina en el hogar pequeños comprometidos como infraestructura operativa, reflejando tácticas empleadas por otros actores de amenaza chinos como Vanguard Panda.
Técnicas de explotación de nubes de relación confiable
La capacidad más distintiva de Murky Panda radica en llevar a cabo compromisos de relación confiable dentro de los entornos de la nube, que representa un vector de ataque relativamente raro y submonitorado.
El grupo ha explotado con éxito vulnerabilidades de día cero para comprometer a los proveedores de software como proveedores de servicio, lo que posteriormente aprovechó su acceso para moverse lateralmente a los clientes posteriores.
En casos documentados, el adversario obtuvo secretos de registro de solicitudes de proveedores SaaS comprometidos que utilizan Entra ID para la gestión de acceso al cliente.
Al autenticarse como directores de servicio, Murky Panda obtuvo acceso no autorizado a entornos de clientes aguas abajo, permitiendo el acceso al correo electrónico y la exfiltración de datos.
Esta técnica sofisticada demuestra su profunda comprensión de la arquitectura de la nube y los sistemas de gestión de identidad.
El actor de amenaza también se ha dirigido a los proveedores de soluciones de Microsoft Cloud, explotando privilegios administrativos delegados para lograr el acceso global de administrador a través de múltiples inquilinos de clientes aguas abajo, estableciendo puestas traseras persistentes a través de cuentas de usuario recién creadas y configuraciones principales de servicio modificadas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
