Silk Typhoon, eine mit China verbundene Hackergruppe, ehemals als Hafnium bekannt, hat ihre Taktik geändert und konzentriert sich nun auf IT-Lieferketten, um Zugriff auf Unternehmensnetzwerke zu erhalten. Laut Microsoft Threat Intelligence nutzt die Gruppe Remote-Management-Tools, Cloud-Anwendungen und privilegierte Zugriffsdienste (PAM), um sich in Kundenumgebungen einzunisten. Betroffene Sektoren sind unter anderem IT-Dienstleistungen, Verteidigung, Gesundheitswesen, Regierungen und NGOs.
Die Angreifer nutzen Zero-Day-Schwachstellen in Unternehmenslösungen wie Ivanti Pulse Connect VPN (CVE-2025-0282), Palo Alto Networks Firewalls (CVE-2024-3400) und Citrix NetScaler (CVE-2023-3519). Silk Typhoon setzt auf persistente Web Shells, laterale Bewegungen in Cloud-Umgebungen und Datendiebstahl über die MSGraph-API von Microsoft. Ihre Infrastruktur besteht aus kompromittierten Zyxel-Routern und QNAP-Geräten, eine bekannte Taktik chinesischer staatlich unterstützter Cyberoperationen.
Expertenanalyse:
Der Wechsel von Silk Typhoon zu Supply-Chain-Angriffen ist eine logische Weiterentwicklung ihrer Strategie und entspricht der langfristigen Cyber-Spionagepolitik Chinas. Statt einzelne Unternehmen anzugreifen, kompromittieren sie nun zentrale digitale Plattformen, die ganze Branchen miteinander verbinden. Die Nutzung gestohlener API-Schlüssel und Cloud-Dienste zeigt eine Verlagerung hin zu gezielteren, strukturellen Angriffen.
Das ist nicht nur Spionage, sondern langfristige strategische Positionierung. Unternehmen, die sich weiterhin auf klassische Perimetersicherheit verlassen, öffnen diesen Akteuren faktisch die Tür.
Lesen Sie den vollständigen Artikel hier.
