Murky Panda(Silk Typhoon)として知られる中国の国家支援型ハッカーグループは、クラウド環境における信頼された関係を悪用し、下流顧客のネットワークやデータへの初期アクセスを獲得しています。
Murky Pandaは、Silk Typhoon(Microsoftの呼称)やHafniumとしても知られ、北米の政府、技術、学術、法務、専門サービス組織を標的としています。
このハッカーグループは、さまざまな名称のもとで活動しており、2021年のMicrosoft Exchange侵害(ProxyLogon脆弱性を利用)を含む多数のサイバースパイ活動と関連付けられています。最近の攻撃には、米国財務省外国資産管理局(OFAC)や対米外国投資委員会への攻撃が含まれます。
3月には、Microsoftが報告したように、Silk Typhoonはリモート管理ツールやクラウドサービスを狙ったサプライチェーン攻撃を開始し、下流顧客のネットワークへのアクセスを得ていました。
信頼されたクラウド関係の悪用
Murky Pandaは、Citrix NetScalerデバイスのCVE-2023-3519脆弱性、Microsoft ExchangeのProxyLogin、Ivanti Pulse Connect VPNのCVE-2025-0282など、インターネットに公開されたデバイスやサービスの脆弱性を悪用して企業ネットワークへの初期アクセスを得ることが一般的です。
しかし、CrowdStrikeの新しいレポートは、脅威アクターがクラウドサービスプロバイダーを侵害し、これらの企業が顧客と持つ信頼関係を悪用することも知られていることを示しています。
クラウドプロバイダーは顧客環境への管理者アクセス権を持つことがあるため、攻撃者がこれらを侵害すると、その信頼を悪用して下流のネットワークやデータに直接アクセスすることができます。
あるケースでは、ハッカーはゼロデイ脆弱性を利用してSaaSプロバイダーのクラウド環境に侵入しました。その後、Entra ID内のプロバイダーのアプリケーション登録シークレットにアクセスし、サービスとして認証して下流顧客の環境にログインできるようになりました。このアクセスを利用して、顧客のメールを読み取ったり、機密データを盗み出したりしました。
別の攻撃では、Murky Pandaは委任管理者権限(DAP)を持つMicrosoftクラウドソリューションプロバイダーを侵害しました。Admin Agentグループのアカウントを侵害することで、攻撃者はすべての下流テナントに対するグローバル管理者権限を獲得しました。その後、顧客環境にバックドアアカウントを作成し、権限を昇格させ、永続化やメール・アプリケーションデータへのアクセスを可能にしました。
CrowdStrikeは、信頼関係を利用した侵害は珍しいものの、認証情報の窃取などの一般的な経路よりも監視されにくいと指摘しています。これらの信頼モデルを悪用することで、Murky Pandaは正規のトラフィックや活動に紛れ込みやすくなり、長期間にわたりステルスアクセスを維持できます。
クラウドを中心とした侵入に加え、Murky Pandaはさまざまなツールやカスタムマルウェアを使用してアクセスを維持し、検知を回避しています。
攻撃者は、Neo-reGeorgオープンソースWebシェルや、China Chopper Webシェル(いずれも中国のスパイ活動と広く関連)をよく展開し、侵害したサーバー上で永続化を確立します。
また、このグループはCloudedHopeと呼ばれるLinuxベースのカスタムリモートアクセス型トロイの木馬(RAT)にもアクセスでき、感染デバイスの制御やネットワーク内でのさらなる拡散が可能です。
Murky Pandaは強力な運用セキュリティ(OPSEC)も示しており、タイムスタンプの改ざんやログの削除などでフォレンジック分析を妨害します。
このグループは、侵害したSOHO(小規模オフィス・家庭用)デバイスをプロキシサーバーとして利用し、標的国のインフラ内から攻撃を行っているように見せかけることでも知られています。これにより、悪意のあるトラフィックが通常のトラフィックに紛れ、検知を回避できます。
重大なスパイ活動の脅威
CrowdStrikeは、Murky Panda/Silk Typhoonが高度なスキルとゼロデイ・nデイ脆弱性の迅速な兵器化能力を持つ洗練された敵対者であると警告しています。
彼らによる信頼されたクラウド関係の悪用は、SaaSやクラウドプロバイダーを利用する組織にとって重大なリスクとなります。
Murky Pandaの攻撃から防御するために、CrowdStrikeは、Entra IDサービスプリンシパルの異常なサインインの監視、クラウドプロバイダーアカウントへの多要素認証の強制、Entra IDログの監視、クラウド向けインフラの迅速なパッチ適用を推奨しています。
「MURKY PANDAは、北米の政府、技術、法務、専門サービスの組織および機密情報へのアクセス権を持つサプライヤーにとって重大な脅威です」とCrowdStrikeは結論付けています。
「クラウド環境に大きく依存する組織は、クラウドにおける信頼関係の侵害に本質的に脆弱です。MURKY PANDAのような中国系の敵対者は、洗練された手法を駆使してスパイ活動を進め、世界中のさまざまな分野を標的にし続けています。」
