Murky Panda hackers exploit cloud trust to hack downstream customers

2 minute de lecture

Mis à jour : August 23, 2025

Murky Panda : Exploitation des relations de confiance dans le cloud pour atteindre les clients finaux

Le groupe de pirates informatiques sponsorisé par l’État chinois, connu sous le nom de Murky Panda (également appelé Silk Typhoon ou Hafnium), cible des organisations gouvernementales, technologiques, académiques et de services professionnels en Amérique du Nord. Ce groupe est connu pour ses campagnes de cyberespionnage, notamment les brèches de Microsoft Exchange en 2021.

Points Clés :

Nouvelle méthode d’attaque : Murky Panda exploite désormais les relations de confiance établies entre les fournisseurs de services cloud et leurs clients pour obtenir un accès initial aux réseaux et aux données de ces derniers.
Abus de privilèges : En compromettant des fournisseurs de cloud, les attaquants peuvent abuser de l’accès administratif que ces derniers possèdent parfois sur les environnements clients. Cela leur permet de pivoter directement vers les réseaux des clients finaux.
Techniques spécifiques : Les pirates ont réussi à accéder à des secrets d’enregistrement d’applications dans Entra ID (anciennement Azure AD) pour s’authentifier en tant que service et accéder aux environnements clients. Ils ont également exploité des privilèges administratifs délégués (DAP) chez des fournisseurs de solutions cloud Microsoft pour obtenir des droits d’administrateur global.
Discrétion et persistance : Ces attaques via des relations de confiance sont moins surveillées que les méthodes courantes comme le vol d’identifiants. Elles permettent à Murky Panda de se fondre dans le trafic légitime et de maintenir un accès furtif sur de longues périodes.
Outils et malwares : Le groupe utilise des webshells open-source comme Neo-reGeorg et China Chopper, ainsi qu’un RAT Linux personnalisé nommé CloudedHope. Ils appliquent également des mesures de sécurité opérationnelle (OPSEC) strictes, telles que la modification de timbres temporels et la suppression de journaux.
Utilisation de SOHO compromis : Des appareils SOHO (Petites et Moyennes Entreprises / Domicile) compromis sont utilisés comme serveurs proxy pour masquer le trafic malveillant.

Vulnérabilités Mentionnées :

CVE-2023-3519 : Vulnérabilité dans les appareils Citrix NetScaler.
ProxyLogon : Vulnérabilité dans Microsoft Exchange.
CVE-2025-0282 : Vulnérabilité dans Ivanti Pulse Connect VPN.

Recommandations :

Surveiller les connexions inhabituelles des principaux de service Entra ID.
Mettre en œuvre l’authentification multifacteur pour les comptes des fournisseurs cloud.
Surveiller attentivement les journaux Entra ID.
Appliquer rapidement les correctifs aux infrastructures exposées au cloud.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Murky Panda hackers exploit cloud trust to hack downstream customers

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast