Silk Typhoon, groupe de cyberespionnage chinois anciennement connu sous le nom de Hafnium, a modifié sa stratégie pour cibler les chaînes d’approvisionnement IT et accéder aux réseaux d’entreprises. D’après Microsoft Threat Intelligence, le groupe exploite désormais des outils de gestion à distance, des applications cloud et des services de gestion des accès privilégiés (PAM) pour compromettre des clients en cascade. Les victimes incluent des entreprises IT, des services de santé, la défense, des gouvernements et des ONG.
Les attaquants utilisent des vulnérabilités zero-day dans des solutions d’entreprise majeures, notamment Ivanti Pulse Connect VPN (CVE-2025-0282), les firewalls Palo Alto Networks (CVE-2024-3400) et Citrix NetScaler (CVE-2023-3519). Silk Typhoon implante des web shells persistants, se déplace latéralement dans les environnements cloud et exfiltre des données via l’API MSGraph de Microsoft. Leur infrastructure repose sur des équipements compromis (routeurs Zyxel, NAS QNAP), une méthode bien connue des opérations chinoises parrainées par l’État.
Analyse de nos experts :
Le pivot de Silk Typhoon vers les attaques de supply chain traduit une montée en puissance logique et méthodique, conforme à la doctrine chinoise du cyberespionnage. Plutôt que de s’en prendre aux entreprises une par une, ils compromettent directement les plateformes qui interconnectent des secteurs entiers. L’exploitation de clés API et de services cloud marque une transition vers des attaques plus furtives et structurelles.
On ne parle plus seulement d’espionnage mais d’une prise de contrôle stratégique à long terme. Les entreprises qui persistent à défendre uniquement leurs périmètres sont en réalité en train de laisser la porte grande ouverte.
Lisez l’article complet ici.
