Sumário
Resumo
O cenário de ameaças cibernéticas de 2025 tem sido marcado por uma escalada nas atividades do grupo de espionagem chinês Murky Panda, também conhecido como Silk Typhoon. Segundo Adam Meyers, a CrowdStrike registrou um aumento tão significativo nas operações do grupo que seus especialistas passaram a se referir ao período como o "verão de Murky Panda", em referência à intensa atividade do grupo a época de verão no hemisfério norte.
O Murky Panda se destaca entre as ameaças disponíveis no mercado por conta da sua especialização em comprometer ambientes cloud e por ser um dos poucos grupos que exploram relacionamentos de confiança entre organizações e tenants com o objetivo de efetuar uma movimentação lateral nos sistemas afetados. O Microsoft Entra ID -- plataforma de gerenciamento de identidade e acesso baseada em nuvem da big tech -- também é um dos alvos desses atacantes, uma vez que centraliza o acesso a recursos corporativos. Segundo investigações, suas investidas têm como alvo empresas de tecnologia, escritórios de advocacia e organizações governamentais, mas a SEK ressalta que outras companhias, fora de tais ramos, também podem ser atingidas.
Esta tendência se alinha diretamente com previsões da SEK, apontadas no Think Ahead Report 2025, que identificaram que a segurança em nuvem deveria ser "a prioridade número um para empresas que desejam sobreviver no cenário digital." Neste Boletim de Inteligência, a equipe de Cyber Threat Intelligence da SEK busca analisar as táticas empregadas pelo Murky Panda, apresentar o impacto de suas campanhas no cenário de segurança atual e fornecer recomendações práticas para organizações latino-americanas que dependem de infraestruturas cloud.
O grupo Murky Panda
Apesar de ter ganhado espaço na mídia nos últimos meses, o Murky Panda opera como um braço técnico das operações de inteligência da China. Segundo investigações, a denominação, no entanto, é somente uma das várias identidades do grupo, que também opera sob o nome Silk Typhoon, nomenclatura criada pela Microsoft e que substituiu a designação anterior HAFNIUM.
O grupo ganhou notoriedade internacional durante uma campanha descoberta pela Microsoft ainda em 2021. Naquele ano, o grupo que hoje conhecemos como Murky Panda organizou uma onda de ataques ao redor do mundo que explorava simultaneamente várias zero-days no Microsoft Exchange Server.
As vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065 foram utilizadas pelos atacantes para obtenção de acesso inicial aos servidores afetados. Depois da invasão, os operadores implantavam web shells no ambiente, com objetivo de manter o acesso prolongado, e roubavam informações sigilosas disponíveis nos dispositivos. Naquele ano, a Microsoft precisou realizar diversas alterações em seu blog oficial, que notificava a exploração das falhas. As atualizações de conteúdo foram, em sua maioria, textos que chamavam atenção para a exploração ativa das vulnerabilidades em servidores que ainda não tinham aplicado as correções disponibilizadas.
O alcance e a simultaneidade dos ataques sugeriram, desde então, que o grupo operava com muitos recursos. Conforme documentado pela CrowdStrike, "as operações do MURKY PANDA são provavelmente direcionadas por objetivos de coleta de inteligência para obter acesso a informações sensíveis". Diferentemente de grupos criminosos tradicionais, que priorizam monetização rápida através de ransomware ou fraudes financeiras, o Murky Panda demonstra interesse em manter acesso silencioso aos sistemas das vítimas, exfiltrando comunicações, documentos estratégicos e propriedade intelectual.
Com o passar do tempo, o grupo desenvolveu suas habilidades técnicas e continuou sob o radar de gigantes como a Microsoft. Uma mudança significativa na abordagem do grupo foi documentada diretamente pela Microsoft em 5 de março de 2025. Desde o final de 2024, o ator de ameaça passou a explorar a cadeia de suprimentos de TI, com foco principal em soluções de gerenciamento remoto ou aplicações cloud.
O relatório "Silk Typhoon targeting IT supply chain", da Microsoft, apontou como o grupo passou a explorar tal cadeia, abusando de chaves de API e credenciais associadas a provedores de cloud e ao gerenciamento de acesso privilegiado (PAM) -- prática comum de segurança criada para limitar o risco de contas de níveis como admin ou system. Tudo isso não é por acaso. Uma vez com acesso às chaves dessas organizações, o Murky Panda consegue acessar os ambientes de clientes das empresas inicialmente comprometidas, aumentando seu alcance.
Depois do comprometimento, o Murky Panda segue um padrão específico, documentado pela Microsoft. Primeiro, o grupo utiliza as chaves roubadas para acessar diretamente os tenants e ambientes de clientes das companhias, contornando os controles de segurança destes alvos. Depois, executa um reconhecimento dos ambientes por meio de contas com nível administrativo. Por fim, implementa técnicas variadas de persistência que incluem o reset das contas administrativas através das chaves de API, implementação de web shells, além da limpeza de logs para remover as evidências de suas atividades.
As atividades
Embora o padrão de operações do Murky Panda tenha sido mapeado pela Microsoft, as investigações mais recentes da CrowdStrike revelaram um nível de sofisticação que vai além das técnicas tradicionais de comprometimento de cloud. A partir de então, surgiu o período que o vice-presidente sênior de operações de contra-ataque da CrowdStrike, Adam Meyers, descreveu como "o verão do Murky Panda".
Durante este período de atividades recorrentes do grupo, o Murky Panda conseguiu dominar invasões relacionadas ao comprometimento de relações de confiança nos ambientes de armazenamento em nuvem. Assim, o grupo consegue identificar fornecedores estratégicos que mantêm relacionamentos com dezenas ou centenas de clientes ao longo da cadeia de produção, e pode atingi-los com somente um vetor de entrada. Sob análise da Cyble, as invasões na cadeia de produção já aumentaram mais de 25% no período de outubro de 2024 a maio de 2025, sendo focadas, em sua maioria, nas empresas de tecnologia, TI e outros setores -- os quais são similares aos que o Murky Panda tem como alvo principal.
O Murky Panda é um dos poucos casos de atores de ameaça que exploram tais relações para invadir ambientes cloud. A escolha desse método leva em consideração que o grupo busca diminuir as suas chances de ser detectado no ambiente do cliente, e, por consequência, prolongar o acesso no sistema invadido.
Segundo a CrowdStrike, "esse vetor de acesso inicial ao ambiente de nuvem da vítima permanece relativamente submonitorado em comparação a vetores de acesso inicial mais proeminentes, como contas de nuvem válidas e exploração de aplicativos públicos". É possível afirmar que esse problema da falta de visibilidade se dá porque muitas empresas se apressaram para implementar armazenamentos em cloud ao longo dos últimos anos, mas ainda não têm o entendimento completo sobre o funcionamento desses ambientes.
O comprometimento de provedores SaaS
A CrowdStrike documentou detalhadamente pelo menos dois casos nos quais o Murky Panda demonstrou capacidade para explorar vulnerabilidades zero-day especificamente em provedores de Software-as-a-Service (SaaS).
A seleção destes alvos leva à conclusão de que o grupo considera o fato de que provedores SaaS mantêm acesso autorizado aos dados e sistemas de seus clientes por precisarem conduzir suas operações. No Think Ahead Report 2025, a SEK também já demonstrou como ataques a fornecedores são capazes de comprometer ecossistemas inteiros -- justamente o que ocorre nas invasões do Murky Panda.
O processo inicia-se com o comprometimento do ambiente cloud do provedor SaaS por meio da exploração de uma zero-day. Contudo, diferentemente de grupos APT tradicionais que procedem imediatamente à exfiltração de dados, o Murky Panda investe tempo para compreender informações sobre os ambientes cloud comprometidos. Este processo envolve o mapeamento de arquiteturas, a identificação de relacionamentos entre aplicações e a análise detalhada dos mecanismos de autenticação que permitem ao provedor SaaS acessar os ambientes de seus clientes.
Em um caso específico analisado pela CrowdStrike, o provedor SaaS comprometido utilizava o Microsoft Entra ID para gerenciar o acesso de sua aplicação aos dados de clientes.
Na invasão, o Murky Panda conseguiu obter acesso ao application registration secret do provedor -- essencialmente a chave mestra que permite à aplicação SaaS autenticar-se nos tenants Entra ID de todos os clientes.
A mecânica desta técnica explora uma característica específica do Entra ID. "aplicações SaaS são definidas por um tipo de template - referido como application registration - que reside no tenant Entra do criador da aplicação." Com controle sobre o application registration secret, o Murky Panda pode autenticar-se como os service principals desta aplicação em todos os clientes. Como consequência, o acesso aparenta ser uma atividade completamente normal da aplicação SaaS, contornando alertas de segurança tradicionais e permitindo a coleta de dados sem detecção.
O comprometimento de provedores de cloud
A segunda categoria de trusted-relationship compromise documentada pela CrowdStrike demonstra compreensão ainda mais profunda do ecossistema Microsoft. O grupo conseguiu comprometer um Microsoft Cloud Solution Provider (CSP), isto é, um participante oficial do programa de parceiros da Microsoft que, por definição do regulamento, precisa ter acesso aos tenants do Microsoft Entra de seus clientes.
No caso específico analisado pela CrowdStrike, o Murky Panda comprometeu um usuário membro do grupo Admin Agent, obtendo instantaneamente privilégios de nível Global Administrator em todos os tenants de clientes do provedor afetado.
Com privilégios de Global Administrator estabelecidos, o ator de ameaça criou temporariamente um usuário no tenant da vítima e adicionou este user a diversos grupos preexistentes.
Neste caso, o problema é que a seleção de grupos também não foi aleatória. Um dos grupos escolhidos fornecia privilégios de Application Administrator ao usuário, permitindo, por consequência, que o Murky Panda adicionasse credenciais a service principals -- entidades com permissões -- já estabelecidos no ambiente da vítima. Do ponto de vista dos atacantes, essa abordagem evita a criação de novas aplicações suspeitas e diminui as chances de detecção.
Com controle sobre os novos secrets adicionados aos service principals existentes, o Murky Panda pode autenticar-se como service principals, escalando seus privilégios para aqueles das identidades comprometidas. A CrowdStrike documentou que os service principals selecionados pelo grupo incluíam especificamente privilégios de leitura de e-mails, que se alinhavam diretamente aos objetivos de coleta de inteligência do grupo, e privilégios para adição de secrets a outros service principals e application registrations, estabelecendo vários pontos de persistência no ambiente da vítima.
TTPs
Além de informações gerais sobre os ataques realizados pelo Murky Panda, é importante destacar seu funcionamento com foco em suas táticas, técnicas e procedimentos (TTPs), considerando que este é um grupo capaz de passar desapercebido pelos sistemas de detecção e persistir nos ambientes cloud atuais.
1. Acesso inicial e exploração de falhas
O Murky Panda se caracteriza também pela capacidade de transformar vulnerabilidades n-day e zero-day em ferramentas que facilitem suas operações. Conforme documentado pela CrowdStrike e Microsoft, o grupo demonstrou agilidade excepcional na exploração de falhas críticas, incluindo:
- CVE-2023-3519: Vulnerabilidade de execução remota de código não autenticada que afeta Citrix NetScaler ADC e NetScaler Gateway. O grupo explorou esta falha para comprometer múltiplas organizações, estabelecendo pontos de entrada em infraestruturas críticas.
- CVE-2025-0282: Falha de execução remota de código que atinge o Ivanti Pulse Connect VPN. O Murky Panda utilizou a vulnerabilidade para invadir servidores expostos ao público sem necessidade de autenticação.
Além das vulnerabilidades conhecidas, o grupo também obtém acesso inicial através de ataques bem-sucedidos de passwordspray -- quando o invasor testa um grande número de senhas na mesma conta, até encontrar a correta, -- e outras técnicas, incluindo a descoberta de credenciais através de reconhecimento em repositórios públicos como o GitHub.
O Murky Panda também mantém foco em fornecedores de serviços de software e terceiros vulneráveis, como soluções de TI e RMM.
2. Infraestrutura e evasão de detecção
Uma vez estabelecido o acesso inicial, o Murky Panda utiliza consistentemente web shells, incluindo o Neo-reGeorg, frequentemente empregado por adversários ligados à China. Estas ferramentas permitem execução de comandos, manutenção de persistência e exfiltração de dados dos ambientes das vítimas.
Segundo investigações, o grupo também possui acesso ao CloudedHope, um malware customizado analisado pela CrowdStrike que consiste em um executável ELF de 64 bits desenvolvido em Golang e projetado especificamente para sistemas Linux. O CloudedHope implementa funcionalidades básicas de uma Remote Access Tool (RAT), uma categoria de malware que permite aos atacantes controlar remotamente sistemas comprometidos, executar comandos, transferir arquivos e monitorar atividades. Enquanto isso, são empregadas várias técnicas anti-análise, projetadas para dificultar que pesquisadores estudem o comportamento do malware.
Ainda em relação ao CloudedHope, o malware utiliza comparações baseadas em checksum. Ou seja, verifica se está sendo executado no sistema alvo, no entanto, caso detecte que está sendo analisado em um laboratório, executa uma ação de distração e oculta suas capacidades reais dos pesquisadores. Ao implementar essas verificações, o CloudedHope pode operar normalmente em sistemas das vítimas enquanto se comporta de forma benigna quando detecta tentativas de análise.
3. Movimento lateral
Como já apontado neste Boletim, o grupo Murky Panda demonstra ter compreensão sobre as arquiteturas das companhias, ao se mover de ambientes locais para aqueles em nuvem.
Em algumas invasões, o grupo visou servidores do Microsoft Entra Connect, um alvo que, quando comprometido, permite ao ator de ameaça escalar privilégios, acessar simultaneamente ambientes locais e cloud, e mover-se lateralmente entre diferentes domínios de segurança.
4. Manipulação de service principals
Uma das técnicas mais sofisticadas documentadas pela Microsoft envolve o abuso de service principals e aplicações OAuth com permissões administrativas para exfiltrar dados de email, OneDrive e SharePoint via MSGraph. O processo específico inclui obter acesso a uma aplicação já dentro do tenant para coleta de dados de email, adicionar suas próprias credenciais à aplicação, e usar este acesso para roubar informações via API MSGraph.
O grupo foi observado comprometendo aplicações multi-tenant, uma técnica que potencialmente permite movimento através de diferentes tenants, acesso a recursos adicionais dentro dos tenants e exfiltração de dados. Em algumas instâncias, o grupo cria aplicações Entra ID especificamente para facilitar roubo de dados, tipicamente nomeando essas aplicações de forma a se misturarem ao ambiente usando nomenclaturas que evocam serviços legítimos ou temas do Office 365.
TTPs MITRE ATT&CK
| Tática | Técnica | ID | Comportamento observado |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | O grupo demonstra capacidade excepcional de rapidamente weaponizar vulnerabilidades zero-day e n-day. Explora falhas em aplicações expostas à internet como Citrix NetScaler, Commvault e Ivanti Pulse Connect VPN. |
| Initial Access | Valid Accounts | T1078 | Utiliza credenciais legítimas obtidas através de ataques de password spraying ou encontradas em repositórios públicos como GitHub. |
| Initial Access | Trusted Relationship | T1199 | Compromete fornecedores, provedores cloud ou parceiros que possuem acesso legítimo aos ambientes das vítimas finais. |
| Execution | Server Software Component: Web Shell | T1505.003 | O grupo instala web shells como Neo-reGeorg em servidores comprometidos. |
| Execution | Command and Scripting Interpreter | T1059 | Execução de comandos via web shells e ferramentas administrativas. |
| Persistence | Server Software Component: Web Shell | T1505.003 | Manutenção de acesso através de web shells implantados. |
| Persistence | Create Account | T1136 | Cria contas backdoor temporárias em tenants Entra ID para manter acesso administrativo mesmo se outras credenciais forem descobertas e revogadas. |
| Persistence | Account Manipulation | T1098 | Modifica contas existentes adicionando credenciais próprias a service principals. |
| Privilege Escalation | Valid Accounts: Cloud Accounts | T1078.004 | Explora relacionamentos DAP/GDAP para automaticamente obter privilégios de Global Administrator. |
| Privilege Escalation | Domain or Tenant Policy Modification | T1484 | Modifica políticas de domínio ou tenant para conceder privilégios adicionais. |
| Defense Evasion | Indicator Removal: Clear Windows Event Logs | T1070.001 | Limpeza sistemática de logs para remover evidências. |
| Defense Evasion | Indicator Removal: Timestomp | T1070.006 | Modificação de timestamps para dificultar análise forense. |
| Defense Evasion | Obfuscated Files or Information | T1027 | Utiliza malware CloudedHope com ofuscação avançada e medidas anti-análise. |
| Defense Evasion | Masquerading | T1036 | Nomeia aplicações maliciosas com temas que imitam serviços legítimos do Office 365. |
| Credential Access | Brute Force: Password Spraying | T1110.003 | Ataques sistemáticos de spray de senha contra múltiplas contas. |
| Credential Access | Credentials from Password Stores | T1555 | Rouba senhas armazenadas em cofres de chaves (key vaults). |
| Credential Access | OS Credential Dumping | T1003 | Extrai credenciais diretamente do Active Directory. |
| Discovery | Account Discovery | T1087 | Identifica contas administrativas e suas permissões usando chaves API comprometidas. |
| Discovery | Permission Groups Discovery | T1069 | Mapeia grupos Admin Agent e Helpdesk Agent em CSPs. |
| Discovery | Software Discovery | T1518 | Analisa configurações cloud e relacionamentos entre diferentes serviços e aplicações. |
| Lateral Movement | Use Alternate Authentication Material: Application Access Token | T1550.001 | Uso de application registration secrets para autenticação como service principals. |
| Lateral Movement | Remote Services | T1021 | Movimento através de relacionamentos de confiança cloud. |
| Collection | Email Collection | T1114 | Coleta de emails via MSGraph API e EWS API. |
| Collection | Data from Information Repositories | T1213 | Coleta de documentos com informações sigilosas. |
| Collection | Data from Cloud Storage | T1530 | Acesso a OneDrive e SharePoint via service principals comprometidos. |
| Command and Control | Proxy | T1090 | Uso de dispositivos SOHO comprometidos e redes cobertas (Cyberoam, Zyxel, QNAP). |
| Command and Control | Encrypted Channel | T1573 | Comunicação via canais criptografados, incluindo rede Tor. |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Exfiltração de dados via canais de comando e controle. |
| Exfiltration | Exfiltration Over Web Service | T1567 | Uso de APIs legítimas (MSGraph, EWS) para exfiltração de dados. |
IoCs
Os Indicadores de Comprometimento (IoCs) relacionados a este grupo estão disponíveis neste link.
Conclusão
O Murky Panda faz parte da evolução dos APTs patrocinados por Estado-nações, sendo responsável por demonstrar como grupos sofisticados conseguem transformar os relacionamentos comerciais de confiança entre companhias e seus fornecedores em vetores de espionagem e ataques. As técnicas de trusted-relationship compromise desenvolvidas pelo grupo materializam os riscos antecipados pelo Think Ahead Report 2025 da SEK, ao mesmo tempo que confirmou que "o pensamento de Cloud Security First deixa de ser um diferencial e passa a ser um requisito para garantir a continuidade dos negócios".
Ainda que as invasões não sejam focadas em empresas localizadas na América Latina, as implicações continuam críticas. O uso de infraestruturas cloud híbridas na região, bem como a dependência de fornecedores acaba criando superfícies de ataques que podem, por certo, ser exploradas por esses e outros invasores. Quando um provedor americano, por exemplo, é atingido em outro continente, organizações latino-americanas que utilizam seus serviços podem automaticamente tornar-se alvos secundários.
A emergência do grupo como um especialista em trusted-relationship compromises deve funcionar como prova para que organizações não confiem mais totalmente em relacionamentos comerciais estabelecidos. Dessa forma, a segurança deve assumir que qualquer parceiro, fornecedor ou provedor de serviços pode representar um vetor de ataque e potencial -- o que, em consequência, precisa pedir por uma revisão das estratégias de defesa das organizações.
Recomendações
A sofisticação demonstrada pelo Murky Panda em suas campanhas de trusted-relationship compromise exige uma abordagem defensiva, assim como abordamos outras ameaças. Como visto, a CrowdStrike observou atividade significativa conduzida pelo Murky Panda, com o grupo demonstrando conhecimento extensivo de ambientes cloud.
As recomendações a seguir baseiam-se nas melhores práticas da indústria e integram os serviços especializados oferecidos pela SEK para enfrentar especificamente as técnicas empregadas por este grupo de APT.
Fortalecimento da gestão de relacionamentos de confiança
A principal vulnerabilidade explorada pelo Murky Panda está nos relacionamentos comerciais estabelecidos entre organizações e seus fornecedores cloud. Empresas devem realizar auditorias sistemáticas de todos os parceiros que possuem acesso privilegiado aos seus ambientes, questionando se cada nível de acesso é realmente necessário e se os controles de segurança destes fornecedores são adequados.
É essencial mapear todos os relacionamentos DAP/GDAP (Delegated Admin Privileges/Granular Delegated Admin Privileges) estabelecidos com Microsoft Cloud Solution Providers e outros parceiros tecnológicos. Organizações devem implementar processos rigorosos de due diligence que avaliem não apenas a segurança técnica, mas também a resiliência cibernética de fornecedores críticos. Esta avaliação abrangente pode ser estruturada através do Third Party Risk Management da SEK, que tem como objetivo identificar, avaliar e mitigar riscos cibernéticos associados à cadeia de suprimentos e terceiros.
Avaliação da segurança de identidades cloud
O comprometimento de service principals representa um dos vetores de ataque mais críticos utilizados pelo Murky Panda. Organizações devem implementar auditoria contínua de todas as credenciais de service principals no Microsoft Entra ID, prestando atenção especial a credenciais recém-adicionadas ou modificadas.
É fundamental habilitar os logs de atividade do Microsoft Graph para obter visibilidade completa sobre quais recursos estão sendo acessados por cada service principal. As organizações devem estabelecer alertas para atividades que desviem do padrão esperado, como acessar recursos inesperados ou originar logins de redes não autorizadas. A implementação dessas práticas pode ser estruturada através do Cloud Assessment da SEK -- tal serviço combina a análise das práticas aplicadas ao ambiente de nuvem e a análise técnica das configurações.
Implementação de arquitetura Zero Trust
O modelo Zero Trust é fundamental para combater técnicas de trusted-relationship compromise, pois elimina a confiança implícita em qualquer componente do sistema. Organizações devem tratar cada service principal, aplicação e usuário como potencialmente comprometido, exigindo verificação contínua de identidade e contexto.
Isso inclui implementar Conditional Access rigoroso e segregar ambientes sempre que possível. A arquitetura deve assumir que um incidente eventualmente ocorrerá e, portanto, limitar o escopo de danos através de segmentação e controles de acesso.
Monitoramento contínuo de ambientes cloud
Considerando que o Murky Panda opera com persistência, incluindo limpeza de logs e modificação de timestamps, organizações necessitam de capacidades avançadas de detecção que vão além do monitoramento tradicional.
O monitoramento deve focar especificamente em padrões de acesso anômalos, criação não autorizada de credenciais, e movimentação lateral entre tenants. Sistemas de detecção devem ser configurados para identificar tentativas de mascaramento de aplicações maliciosas através de nomenclaturas que imitam serviços legítimos do Office 365. Para isso, a SEK oferece serviços de MDR, com capacidade 24/7, os quais proporcionam monitoramento contínuo especializado em detectar atividades suspeitas.
Gestão proativa de configurações e vulnerabilidades
O grupo demonstra capacidade para explorar vulnerabilidades zero-day e n-day, tornando crítica a gestão proativa de vulnerabilidades. Organizações devem implementar programas de gerenciamento de vulnerabilidades que priorizem correções baseadas no contexto de exploração real, não somente na criticidade teórica.
É fundamental manter configurações de segurança alinhadas com benchmarks como CIS Controls, implementar hardening contínuo de infraestruturas cloud, e assegurar que aplicações ligadas à internet sejam regularmente testadas contra técnicas de comprometimento. A gestão deve incluir monitoramento de supply chain attacks e avaliação contínua de fornecedores críticos. Essas práticas podem ser estruturadas através do Continuous Threat Management, responsável pela identificação, priorização e gerenciamento de vulnerabilidades, e Posture Management da SEK.
Preparação para cenários de incidentes
Dado o histórico do Murky Panda de manter acesso prolongado e sigiloso em ambientes comprometidos, organizações devem estar preparadas para cenários onde o compromisso já ocorreu. Isso requer desenvolvimento de playbooks específicos para trusted-relationship attacks, incluindo procedimentos para isolamento rápido de tenants comprometidos e revogação em massa de credenciais de service principals.
Planos de resposta devem considerar a natureza dos ataques, em que o comprometimento de um provedor pode afetar múltiplos clientes simultaneamente. Organizações devem testar estes planos através de simulações realistas que incluam cenários de comprometimento de fornecedores críticos. Esta preparação pode ser desenvolvida através de exercícios de TableTop da SEK.
Educação e conscientização especializada
Embora o Murky Panda seja um grupo técnico sofisticado, vetores de acesso inicial ainda incluem técnicas tradicionais como password spraying e descoberta de credenciais em repositórios públicos. Colaboradores devem ser treinados especificamente sobre os riscos únicos de ambientes cloud híbridos e a importância de práticas seguras de gestão de código.
Programas de conscientização devem incluir treinamento sobre reconhecimento de tentativas de compromise através de aplicações legítimas comprometidas e entendimento de como ataques podem se propagar através de relacionamentos de confiança organizacionais. A implementação pode ser apoiada pelo Security Awareness Service da SEK.
Monitoramento da situação da cibersegurança mundial
Grupos sofisticados como o Murky Panda evoluem constantemente suas técnicas, adaptando-se rapidamente a novos ambientes tecnológicos e contornando medidas de segurança implementadas pelas organizações. O "verão de Murky Panda" descrito pela CrowdStrike demonstra como a atividade de grupos APT pode intensificar-se em períodos específicos, exigindo que organizações mantenham-se atualizadas sobre as últimas tendências e técnicas observadas no cenário global de ameaças.
É fundamental que empresas estabeleçam processos estruturados para consumir, analisar e aplicar inteligência de ameaças em suas operações de segurança. A estruturação desse processo de inteligência contínua pode ser apoiada pelos serviços de Cyber Threat Intelligence da SEK, responsável pela criação de materiais como este Boletim de Inteligência e outras investigações.
A implementação eficaz dessas recomendações requer uma abordagem coordenada que combine expertise técnica, processos organizacionais, e tecnologias de ponta. As companhias devem priorizar essas iniciativas considerando que a sofisticação de grupos como o Murky Panda continuará evoluindo, tornando essencial uma postura de segurança verdadeiramente adaptativa e resiliente.
Fontes
Summary
Executive Summary
The 2025 cybersecurity threat landscape has been marked by an escalation in the activities of the Chinese espionage group Murky Panda, also known as Silk Typhoon. According to Adam Meyers, CrowdStrike recorded such a significant increase in the group's operations that their specialists began referring to the period as the "Murky Panda Summer", referencing the group's intense activity during the northern hemisphere summer season.
Murky Panda stands out among available market threats due to its specialization in compromising cloud environments and being one of the few groups that exploit trust relationships between organizations and tenants with the objective of performing lateral movement in affected systems. Microsoft Entra ID -- the big tech's cloud-based identity and access management platform -- is also one of these attackers' targets, as it centralizes access to corporate resources. According to investigations, their attacks target technology companies, law firms, and government organizations, but SEK emphasizes that other companies outside these sectors may also be affected.
This trend directly aligns with SEK's predictions outlined in the Think Ahead Report 2025, which identified that cloud security should be "the number one priority for companies that wish to survive in the digital landscape." In this Intelligence Bulletin, SEK's Cyber Threat Intelligence team seeks to analyze the tactics employed by Murky Panda, present the impact of their campaigns on the current security landscape, and provide practical recommendations for Latin American organizations that depend on cloud infrastructures.
The Murky Panda Group
Despite gaining media attention in recent months, Murky Panda operates as a technical arm of China's intelligence operations. According to investigations, this designation is only one of several identities of the group, which also operates under the name Silk Typhoon, a nomenclature created by Microsoft that replaced the previous designation HAFNIUM.
The group gained international notoriety during a campaign discovered by Microsoft in 2021. That year, the group we now know as Murky Panda organized a wave of attacks around the world that simultaneously exploited several zero-days in the Microsoft Exchange Server.
The vulnerabilities CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065 were used by attackers for initial access to affected servers. After the intrusion, operators deployed web shells in the environment to maintain prolonged access and stole confidential information available on the devices. That year, Microsoft had to make several changes to its official blog notifying about the exploitation of the flaws. The content updates were mostly texts that drew attention to the active exploitation of vulnerabilities on servers that had not yet applied the available fixes.
The scope and simultaneity of the attacks suggested from the outset that the group operated with significant resources. As documented by CrowdStrike, "MURKY PANDA operations are likely driven by intelligence collection objectives to gain access to sensitive information." Unlike traditional criminal groups that prioritize rapid monetization through ransomware or financial fraud, Murky Panda demonstrates interest in maintaining silent access to victims' systems, exfiltrating communications, strategic documents, and intellectual property.
Over time, the group developed its technical skills and continued under the radar of giants like Microsoft. A significant change in the group's approach was documented directly by Microsoft on March 5, 2025. Since the end of 2024, the threat actor began exploiting the IT supply chain, with primary focus on remote management solutions or cloud applications.
Microsoft's report "Silk Typhoon targeting IT supply chain" pointed out how the group began exploiting this chain, abusing API keys and credentials associated with cloud providers and privileged access management (PAM) -- a common security practice created to limit the risk of accounts at levels like admin or system. This is not by chance. Once with access to these organizations' keys, Murky Panda can access the customer environments of initially compromised companies, increasing their reach.
After compromise, Murky Panda follows a specific pattern documented by Microsoft. First, the group uses stolen keys to directly access customer tenants and environments of companies, bypassing these targets' security controls. Then, it performs environment reconnaissance through administrative-level accounts. Finally, it implements various persistence techniques that include resetting administrative accounts through API keys, implementing web shells, and cleaning logs to remove evidence of their activities.
Activities
Although Murky Panda's operational pattern was mapped by Microsoft, CrowdStrike's most recent investigations revealed a level of sophistication that goes beyond traditional cloud compromise techniques. From then on, the period that CrowdStrike's senior vice president of counter-adversary operations, Adam Meyers, described as "the Murky Panda summer" emerged.
During this period of recurring group activities, Murky Panda mastered invasions related to compromising trust relationships in cloud storage environments. Thus, the group can identify strategic suppliers that maintain relationships with dozens or hundreds of customers throughout the production chain and can reach them with only one entry vector. Under Cyble's analysis, supply chain invasions have already increased by more than 25% in the period from October 2024 to May 2025, focusing mostly on technology, IT, and other sectors -- which are similar to Murky Panda's primary targets.
Murky Panda is one of the few cases of threat actors that exploit such relationships to invade cloud environments. The choice of this method considers that the group seeks to reduce its chances of being detected in the customer environment and, consequently, prolong access to the invaded system.
According to CrowdStrike, "this initial access vector to the victim's cloud environment remains relatively under-monitored compared to more prominent initial access vectors, such as valid cloud accounts and exploitation of public applications." It's possible to affirm that this visibility problem occurs because many companies rushed to implement cloud storage over recent years but still don't have complete understanding of how these environments work.
SaaS Provider Compromise
CrowdStrike documented in detail at least two cases in which Murky Panda demonstrated capability to exploit zero-day vulnerabilities specifically in Software-as-a-Service (SaaS) providers.
The selection of these targets leads to the conclusion that the group considers the fact that SaaS providers maintain authorized access to their customers' data and systems to conduct their operations. In the Think Ahead Report 2025, SEK also demonstrated how attacks on suppliers can compromise entire ecosystems -- exactly what occurs in Murky Panda invasions.
The process begins with compromise of the SaaS provider's cloud environment through exploitation of a zero-day. However, unlike traditional APT groups that immediately proceed to data exfiltration, Murky Panda invests time to understand information about compromised cloud environments. This process involves architecture mapping, identification of relationships between applications, and detailed analysis of authentication mechanisms that allow the SaaS provider to access their customers' environments.
In a specific case analyzed by CrowdStrike, the compromised SaaS provider used Microsoft Entra ID to manage their application's access to customer data.
In the invasion, Murky Panda managed to gain access to the provider's application registration secret -- essentially the master key that allows the SaaS application to authenticate in all customers' Entra ID tenants.
The mechanics of this technique exploit a specific characteristic of Entra ID. "SaaS applications are defined by a type of template - referred to as application registration - that resides in the application creator's Entra tenant." With control over the application registration secret, Murky Panda can authenticate as the service principals of this application in all customers. As a consequence, the access appears to be completely normal activity from the SaaS application, bypassing traditional security alerts and allowing data collection without detection.
Cloud Provider Compromise
The second category of trusted-relationship compromise documented by CrowdStrike demonstrates even deeper understanding of the Microsoft ecosystem. The group managed to compromise a Microsoft Cloud Solution Provider (CSP), that is, an official participant in Microsoft's partner program that, by regulation definition, must have access to their customers' Microsoft Entra tenants.
In the specific case analyzed by CrowdStrike, Murky Panda compromised a user who was a member of the Admin Agent group, instantly obtaining Global Administrator level privileges in all customer tenants of the affected provider.
With Global Administrator privileges established, the threat actor temporarily created a user in the victim's tenant and added this user to various pre-existing groups.
In this case, the problem is that the group selection was also not random. One of the chosen groups provided Application Administrator privileges to the user, consequently allowing Murky Panda to add credentials to service principals -- entities with permissions -- already established in the victim's environment. From the attackers' perspective, this approach avoids creating new suspicious applications and reduces chances of detection.
With control over new secrets added to existing service principals, Murky Panda can authenticate as service principals, escalating their privileges to those of compromised identities. CrowdStrike documented that service principals selected by the group specifically included email reading privileges, which directly aligned with the group's intelligence collection objectives, and privileges for adding secrets to other service principals and application registrations, establishing multiple persistence points in the victim's environment.
TTPs
Besides general information about attacks performed by Murky Panda, it's important to highlight their operation with focus on their tactics, techniques, and procedures (TTPs), considering this is a group capable of going undetected by detection systems and persisting in current cloud environments.
1. Initial Access and Vulnerability Exploitation
Murky Panda is also characterized by their ability to transform n-day and zero-day vulnerabilities into tools that facilitate their operations. As documented by CrowdStrike and Microsoft, the group demonstrated exceptional agility in exploiting critical flaws, including:
- CVE-2023-3519: Unauthenticated remote code execution vulnerability affecting Citrix NetScaler ADC and NetScaler Gateway. The group exploited this flaw to compromise multiple organizations, establishing entry points in critical infrastructures.
- CVE-2025-0282: Remote code execution flaw affecting Ivanti Pulse Connect VPN. Murky Panda used the vulnerability to invade public-facing servers without authentication requirements.
Besides known vulnerabilities, the group also obtains initial access through successful password spray attacks -- when the invader tests a large number of passwords on the same account until finding the correct one -- and other techniques, including credential discovery through reconnaissance in public repositories like GitHub.
Murky Panda also maintains focus on vulnerable software service and third-party providers, such as IT and RMM solutions.
2. Infrastructure and Detection Evasion
Once initial access is established, Murky Panda consistently uses web shells, including Neo-reGeorg, frequently employed by China-linked adversaries. These tools allow command execution, persistence maintenance, and data exfiltration from victims' environments.
According to investigations, the group also has access to CloudedHope, a custom malware analyzed by CrowdStrike that consists of a 64-bit ELF executable developed in Golang and specifically designed for Linux systems. CloudedHope implements basic functionalities of a Remote Access Tool (RAT), a category of malware that allows attackers to remotely control compromised systems, execute commands, transfer files, and monitor activities. Meanwhile, several anti-analysis techniques are employed, designed to make it difficult for researchers to study the malware's behavior.
Still regarding CloudedHope, the malware uses checksum-based comparisons. That is, it verifies if it's being executed on the target system; however, if it detects that it's being analyzed in a laboratory, it executes a distraction action and hides its real capabilities from researchers. By implementing these checks, CloudedHope can operate normally on victims' systems while behaving benignly when it detects analysis attempts.
3. Lateral Movement
As already pointed out in this Bulletin, the Murky Panda group demonstrates understanding of company architectures when moving from local environments to cloud ones.
In some invasions, the group targeted Microsoft Entra Connect servers, a target that, when compromised, allows the threat actor to escalate privileges, simultaneously access local and cloud environments, and move laterally between different security domains.
4. Service Principal Manipulation
One of the most sophisticated techniques documented by Microsoft involves abusing service principals and OAuth applications with administrative permissions to exfiltrate data from email, OneDrive, and SharePoint via MSGraph. The specific process includes gaining access to an application already within the tenant for email data collection, adding their own credentials to the application, and using this access to steal information via the MSGraph API.
The group was observed compromising multi-tenant applications, a technique that potentially allows movement across different tenants, access to additional resources within tenants, and data exfiltration. In some instances, the group creates Entra ID applications specifically to facilitate data theft, typically naming these applications to blend into the environment using nomenclatures that evoke legitimate services or Office 365 themes.
MITRE ATT&CK TTPs
| Tactic | Technique | ID | Observed Behavior |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | The group demonstrates exceptional ability to rapidly weaponize zero-day and n-day vulnerabilities. Exploits flaws in internet-exposed applications like Citrix NetScaler, Commvault, and Ivanti Pulse Connect VPN. |
| Initial Access | Valid Accounts | T1078 | Uses legitimate credentials obtained through password spraying attacks or found in public repositories like GitHub. |
| Initial Access | Trusted Relationship | T1199 | Compromises suppliers, cloud providers, or partners that have legitimate access to final victims' environments. |
| Execution | Server Software Component: Web Shell | T1505.003 | The group installs web shells like Neo-reGeorg on compromised servers. |
| Execution | Command and Scripting Interpreter | T1059 | Command execution via web shells and administrative tools. |
| Persistence | Server Software Component: Web Shell | T1505.003 | Maintains access through deployed web shells. |
| Persistence | Create Account | T1136 | Creates temporary backdoor accounts in Entra ID tenants to maintain administrative access even if other credentials are discovered and revoked. |
| Persistence | Account Manipulation | T1098 | Modifies existing accounts by adding own credentials to service principals. |
| Privilege Escalation | Valid Accounts: Cloud Accounts | T1078.004 | Exploits DAP/GDAP relationships to automatically obtain Global Administrator privileges. |
| Privilege Escalation | Domain or Tenant Policy Modification | T1484 | Modifies domain or tenant policies to grant additional privileges. |
| Defense Evasion | Indicator Removal: Clear Windows Event Logs | T1070.001 | Systematic log cleaning to remove evidence. |
| Defense Evasion | Indicator Removal: Timestomp | T1070.006 | Timestamp modification to hinder forensic analysis. |
| Defense Evasion | Obfuscated Files or Information | T1027 | Uses CloudedHope malware with advanced obfuscation and anti-analysis measures. |
| Defense Evasion | Masquerading | T1036 | Names malicious applications with themes that mimic legitimate Office 365 services. |
| Credential Access | Brute Force: Password Spraying | T1110.003 | Systematic password spray attacks against multiple accounts. |
| Credential Access | Credentials from Password Stores | T1555 | Steals passwords stored in key vaults. |
| Credential Access | OS Credential Dumping | T1003 | Extracts credentials directly from Active Directory. |
| Discovery | Account Discovery | T1087 | Identifies administrative accounts and their permissions using compromised API keys. |
| Discovery | Permission Groups Discovery | T1069 | Maps Admin Agent and Helpdesk Agent groups in CSPs. |
| Discovery | Software Discovery | T1518 | Analyzes cloud configurations and relationships between different services and applications. |
| Lateral Movement | Use Alternate Authentication Material: Application Access Token | T1550.001 | Use of application registration secrets for authentication as service principals. |
| Lateral Movement | Remote Services | T1021 | Movement through cloud trust relationships. |
| Collection | Email Collection | T1114 | Email collection via MSGraph API and EWS API. |
| Collection | Data from Information Repositories | T1213 | Collection of documents with confidential information. |
| Collection | Data from Cloud Storage | T1530 | Access to OneDrive and SharePoint via compromised service principals. |
| Command and Control | Proxy | T1090 | Use of compromised SOHO devices and covert networks (Cyberoam, Zyxel, QNAP). |
| Command and Control | Encrypted Channel | T1573 | Communication via encrypted channels, including Tor network. |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Data exfiltration via command and control channels. |
| Exfiltration | Exfiltration Over Web Service | T1567 | Use of legitimate APIs (MSGraph, EWS) for data exfiltration. |
IoCs
The Indicators of Compromise (IoCs) related to this group are available at this link.
Conclusion
Murky Panda is part of the evolution of nation-state sponsored APTs, being responsible for demonstrating how sophisticated groups can transform commercial trust relationships between companies and their suppliers into espionage and attack vectors. The trusted-relationship compromise techniques developed by the group materialize the risks anticipated by SEK's Think Ahead Report 2025, while confirming that "Cloud Security First thinking stops being a differentiator and becomes a requirement to ensure business continuity."
Although invasions are not focused on companies located in Latin America, the implications remain critical. The use of hybrid cloud infrastructures in the region, as well as supplier dependency, creates attack surfaces that can certainly be exploited by these and other invaders. When an American provider, for example, is hit on another continent, Latin American organizations using their services can automatically become secondary targets.
The emergence of the group as a specialist in trusted-relationship compromises should serve as proof that organizations should no longer fully trust established commercial relationships. Thus, security must assume that any partner, supplier, or service provider can represent a potential attack vector -- which, consequently, requires a review of organizations' defense strategies.
Recommendations
The sophistication demonstrated by Murky Panda in their trusted-relationship compromise campaigns requires a defensive approach, just as we approach other threats. As seen, CrowdStrike observed significant activity conducted by Murky Panda, with the group demonstrating extensive knowledge of cloud environments.
The following recommendations are based on industry best practices and integrate specialized services offered by SEK to specifically address the techniques employed by this APT group.
Strengthening Trust Relationship Management
The main vulnerability exploited by Murky Panda lies in commercial relationships established between organizations and their cloud suppliers. Companies should conduct systematic audits of all partners with privileged access to their environments, questioning whether each access level is truly necessary and whether these suppliers' security controls are adequate.
It's essential to map all DAP/GDAP (Delegated Admin Privileges/Granular Delegated Admin Privileges) relationships established with Microsoft Cloud Solution Providers and other technology partners. Organizations must implement rigorous due diligence processes that assess not only technical security but also cybersecurity resilience of critical suppliers. This comprehensive assessment can be structured through SEK's Third Party Risk Management, which aims to identify, assess, and mitigate cybersecurity risks associated with the supply chain and third parties.
Cloud Identity Security Assessment
Compromise of service principals represents one of the most critical attack vectors used by Murky Panda. Organizations must implement continuous auditing of all service principal credentials in Microsoft Entra ID, paying special attention to newly added or modified credentials.
It's fundamental to enable Microsoft Graph activity logs to obtain complete visibility over which resources are being accessed by each service principal. Organizations should establish alerts for activities that deviate from expected patterns, such as accessing unexpected resources or originating logins from unauthorized networks. Implementation of these practices can be structured through SEK's Cloud Assessment -- such service combines analysis of practices applied to the cloud environment and technical analysis of configurations.
Zero Trust Architecture Implementation
The Zero Trust model is fundamental to combat trusted-relationship compromise techniques, as it eliminates implicit trust in any system component. Organizations must treat each service principal, application, and user as potentially compromised, requiring continuous verification of identity and context.
This includes implementing rigorous Conditional Access and segregating environments whenever possible. The architecture should assume that an incident will eventually occur and therefore limit damage scope through segmentation and access controls.
Continuous Cloud Environment Monitoring
Considering that Murky Panda operates with persistence, including log cleaning and timestamp modification, organizations need advanced detection capabilities that go beyond traditional monitoring.
Monitoring should specifically focus on anomalous access patterns, unauthorized credential creation, and lateral movement between tenants. Detection systems should be configured to identify attempts to masquerade malicious applications through nomenclatures that mimic legitimate Office 365 services. For this, SEK offers MDR services with 24/7 capability, providing continuous monitoring specialized in detecting suspicious activities.
Proactive Configuration and Vulnerability Management
The group demonstrates capability to exploit zero-day and n-day vulnerabilities, making proactive vulnerability management critical. Organizations should implement vulnerability management programs that prioritize fixes based on actual exploitation context, not just theoretical criticality.
It's fundamental to maintain security configurations aligned with benchmarks like CIS Controls, implement continuous hardening of cloud infrastructures, and ensure internet-facing applications are regularly tested against compromise techniques. Management should include supply chain attack monitoring and continuous assessment of critical suppliers. These practices can be structured through SEK's Continuous Threat Management, responsible for identification, prioritization, and vulnerability management, and Posture Management.
Incident Scenario Preparation
Given Murky Panda's track record of maintaining prolonged and silent access in compromised environments, organizations must be prepared for scenarios where compromise has already occurred. This requires development of specific playbooks for trusted-relationship attacks, including procedures for rapid isolation of compromised tenants and mass revocation of service principal credentials.
Response plans should consider the nature of attacks where compromise of one provider can affect multiple customers simultaneously. Organizations should test these plans through realistic simulations that include critical supplier compromise scenarios. This preparation can be developed through SEK's TableTop exercises.
Specialized Education and Awareness
Although Murky Panda is a sophisticated technical group, initial access vectors still include traditional techniques such as password spraying and credential discovery in public repositories. Employees should be trained specifically about the unique risks of hybrid cloud environments and the importance of secure practices in code management.
Awareness programs should include training on recognizing compromise attempts through compromised legitimate applications and understanding how attacks can propagate through organizational trust relationships. Implementation can be supported by SEK's Security Awareness Service.
Global Cybersecurity Situation Monitoring
Sophisticated groups like Murky Panda constantly evolve their techniques, rapidly adapting to new technological environments and circumventing security measures implemented by organizations. The "Murky Panda summer" described by CrowdStrike demonstrates how APT group activity can intensify in specific periods, requiring organizations to stay updated on the latest trends and techniques observed in the global threat landscape.
It's fundamental that companies establish structured processes to consume, analyze, and apply threat intelligence in their security operations. The structuring of this continuous intelligence process can be supported by SEK's Cyber Threat Intelligence services, responsible for creating materials like this Intelligence Bulletin and other investigations.
Effective implementation of these recommendations requires a coordinated approach that combines technical expertise, organizational processes, and cutting-edge technologies. Companies should prioritize these initiatives considering that sophistication of groups like Murky Panda will continue evolving, making truly adaptive and resilient security posture essential.
Sources
Resumen
Resumen Ejecutivo
El panorama de amenazas cibernéticas de 2025 ha sido marcado por una escalada en las actividades del grupo de espionaje chino Murky Panda, también conocido como Silk Typhoon. Según Adam Meyers, CrowdStrike registró un aumento tan significativo en las operaciones del grupo que sus especialistas comenzaron a referirse al período como el "verano de Murky Panda", haciendo referencia a la intensa actividad del grupo durante la temporada de verano en el hemisferio norte.
Murky Panda se destaca entre las amenazas disponibles en el mercado debido a su especialización en comprometer entornos cloud y por ser uno de los pocos grupos que explotan relaciones de confianza entre organizaciones y tenants con el objetivo de realizar movimiento lateral en sistemas afectados. Microsoft Entra ID -- la plataforma de gestión de identidad y acceso basada en la nube de la gran empresa tecnológica -- también es uno de los objetivos de estos atacantes, ya que centraliza el acceso a recursos corporativos. Según investigaciones, sus ataques tienen como objetivo empresas tecnológicas, bufetes de abogados y organizaciones gubernamentales, pero SEK enfatiza que otras empresas fuera de estos sectores también pueden ser afectadas.
Esta tendencia se alinea directamente con las predicciones de SEK descritas en el Think Ahead Report 2025, que identificó que la seguridad en la nube debería ser "la prioridad número uno para las empresas que desean sobrevivir en el panorama digital." En este Boletín de Inteligencia, el equipo de Cyber Threat Intelligence de SEK busca analizar las tácticas empleadas por Murky Panda, presentar el impacto de sus campañas en el panorama de seguridad actual y proporcionar recomendaciones prácticas para organizaciones latinoamericanas que dependen de infraestructuras cloud.
El Grupo Murky Panda
A pesar de ganar atención mediática en los últimos meses, Murky Panda opera como un brazo técnico de las operaciones de inteligencia de China. Según investigaciones, esta designación es solo una de varias identidades del grupo, que también opera bajo el nombre Silk Typhoon, una nomenclatura creada por Microsoft que reemplazó la designación anterior HAFNIUM.
El grupo ganó notoriedad internacional durante una campaña descubierta por Microsoft en 2021. Ese año, el grupo que ahora conocemos como Murky Panda organizó una ola de ataques alrededor del mundo que explotó simultáneamente varios zero-days en el Microsoft Exchange Server.
Las vulnerabilidades CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065 fueron utilizadas por los atacantes para acceso inicial a servidores afectados. Después de la intrusión, los operadores desplegaron web shells en el entorno para mantener acceso prolongado y robaron información confidencial disponible en los dispositivos. Ese año, Microsoft tuvo que realizar varios cambios en su blog oficial notificando sobre la explotación de las fallas. Las actualizaciones de contenido fueron principalmente textos que llamaron la atención sobre la explotación activa de vulnerabilidades en servidores que aún no habían aplicado las correcciones disponibles.
El alcance y simultaneidad de los ataques sugirieron desde el principio que el grupo operaba con recursos significativos. Como documentó CrowdStrike, "las operaciones de MURKY PANDA probablemente están impulsadas por objetivos de recopilación de inteligencia para obtener acceso a información sensible." A diferencia de grupos criminales tradicionales que priorizan la monetización rápida a través de ransomware o fraude financiero, Murky Panda demuestra interés en mantener acceso silencioso a los sistemas de las víctimas, exfiltrando comunicaciones, documentos estratégicos y propiedad intelectual.
Con el tiempo, el grupo desarrolló sus habilidades técnicas y continuó bajo el radar de gigantes como Microsoft. Un cambio significativo en el enfoque del grupo fue documentado directamente por Microsoft el 5 de marzo de 2025. Desde finales de 2024, el actor de amenaza comenzó a explotar la cadena de suministro de TI, con enfoque principal en soluciones de gestión remota o aplicaciones cloud.
El informe "Silk Typhoon targeting IT supply chain" de Microsoft señaló cómo el grupo comenzó a explotar esta cadena, abusando de claves de API y credenciales asociadas con proveedores cloud y gestión de acceso privilegiado (PAM) -- una práctica común de seguridad creada para limitar el riesgo de cuentas en niveles como admin o system. Esto no es casualidad. Una vez con acceso a las claves de estas organizaciones, Murky Panda puede acceder a los entornos de clientes de las empresas inicialmente comprometidas, aumentando su alcance.
Después del compromiso, Murky Panda sigue un patrón específico documentado por Microsoft. Primero, el grupo utiliza claves robadas para acceder directamente a tenants y entornos de clientes de empresas, evadiendo los controles de seguridad de estos objetivos. Luego, realiza reconocimiento del entorno a través de cuentas de nivel administrativo. Finalmente, implementa varias técnicas de persistencia que incluyen reiniciar cuentas administrativas a través de claves de API, implementar web shells, y limpiar logs para eliminar evidencia de sus actividades.
Actividades
Aunque el patrón operacional de Murky Panda fue mapeado por Microsoft, las investigaciones más recientes de CrowdStrike revelaron un nivel de sofisticación que va más allá de las técnicas tradicionales de compromiso cloud. A partir de entonces, emergió el período que el vicepresidente senior de operaciones contra-adversarios de CrowdStrike, Adam Meyers, describió como "el verano de Murky Panda".
Durante este período de actividades recurrentes del grupo, Murky Panda dominó invasiones relacionadas con comprometer relaciones de confianza en entornos de almacenamiento en la nube. Así, el grupo puede identificar proveedores estratégicos que mantienen relaciones con decenas o cientos de clientes a lo largo de la cadena de producción y puede alcanzarlos con solo un vector de entrada. Bajo el análisis de Cyble, las invasiones de cadena de suministro ya han aumentado más del 25% en el período de octubre de 2024 a mayo de 2025, enfocándose principalmente en empresas de tecnología, TI y otros sectores -- que son similares a los objetivos principales de Murky Panda.
Murky Panda es uno de los pocos casos de actores de amenaza que explotan tales relaciones para invadir entornos cloud. La elección de este método considera que el grupo busca reducir sus posibilidades de ser detectado en el entorno del cliente y, consecuentemente, prolongar el acceso al sistema invadido.
Según CrowdStrike, "este vector de acceso inicial al entorno cloud de la víctima permanece relativamente sub-monitoreado en comparación con vectores de acceso inicial más prominentes, como cuentas cloud válidas y explotación de aplicaciones públicas." Es posible afirmar que este problema de visibilidad ocurre porque muchas empresas se apresuraron a implementar almacenamiento cloud durante los últimos años pero aún no tienen una comprensión completa de cómo funcionan estos entornos.
Compromiso de Proveedores SaaS
CrowdStrike documentó en detalle al menos dos casos en los que Murky Panda demostró capacidad para explotar vulnerabilidades zero-day específicamente en proveedores de Software-as-a-Service (SaaS).
La selección de estos objetivos lleva a la conclusión de que el grupo considera el hecho de que los proveedores SaaS mantienen acceso autorizado a los datos y sistemas de sus clientes para conducir sus operaciones. En el Think Ahead Report 2025, SEK también demostró cómo los ataques a proveedores pueden comprometer ecosistemas enteros -- exactamente lo que ocurre en las invasiones de Murky Panda.
El proceso comienza con el compromiso del entorno cloud del proveedor SaaS a través de la explotación de un zero-day. Sin embargo, a diferencia de grupos APT tradicionales que proceden inmediatamente a la exfiltración de datos, Murky Panda invierte tiempo para comprender información sobre los entornos cloud comprometidos. Este proceso involucra el mapeo de arquitecturas, la identificación de relaciones entre aplicaciones y el análisis detallado de los mecanismos de autenticación que permiten al proveedor SaaS acceder a los entornos de sus clientes.
En un caso específico analizado por CrowdStrike, el proveedor SaaS comprometido utilizaba Microsoft Entra ID para gestionar el acceso de su aplicación a los datos de clientes.
En la invasión, Murky Panda logró obtener acceso al application registration secret del proveedor -- esencialmente la clave maestra que permite a la aplicación SaaS autenticarse en todos los tenants Entra ID de los clientes.
La mecánica de esta técnica explota una característica específica de Entra ID. "las aplicaciones SaaS se definen por un tipo de plantilla - referida como application registration - que reside en el tenant Entra del creador de la aplicación." Con control sobre el application registration secret, Murky Panda puede autenticarse como los service principals de esta aplicación en todos los clientes. Como consecuencia, el acceso parece ser una actividad completamente normal de la aplicación SaaS, evadiendo alertas de seguridad tradicionales y permitiendo la recopilación de datos sin detección.
Compromiso de Proveedores Cloud
La segunda categoría de trusted-relationship compromise documentada por CrowdStrike demuestra una comprensión aún más profunda del ecosistema Microsoft. El grupo logró comprometer un Microsoft Cloud Solution Provider (CSP), es decir, un participante oficial del programa de socios de Microsoft que, por definición regulatoria, debe tener acceso a los tenants Microsoft Entra de sus clientes.
En el caso específico analizado por CrowdStrike, Murky Panda comprometió un usuario que era miembro del grupo Admin Agent, obteniendo instantáneamente privilegios de nivel Global Administrator en todos los tenants de clientes del proveedor afectado.
Con privilegios de Global Administrator establecidos, el actor de amenaza creó temporalmente un usuario en el tenant de la víctima y agregó este user a varios grupos preexistentes.
En este caso, el problema es que la selección de grupos tampoco fue aleatoria. Uno de los grupos elegidos proporcionó privilegios de Application Administrator al usuario, permitiendo consecuentemente que Murky Panda agregara credenciales a service principals -- entidades con permisos -- ya establecidos en el entorno de la víctima. Desde la perspectiva de los atacantes, este enfoque evita crear nuevas aplicaciones sospechosas y reduce las posibilidades de detección.
Con control sobre nuevos secrets agregados a service principals existentes, Murky Panda puede autenticarse como service principals, escalando sus privilegios a aquellos de las identidades comprometidas. CrowdStrike documentó que los service principals seleccionados por el grupo incluían específicamente privilegios de lectura de correo electrónico, que se alineaban directamente con los objetivos de recopilación de inteligencia del grupo, y privilegios para agregar secrets a otros service principals y application registrations, estableciendo múltiples puntos de persistencia en el entorno de la víctima.
TTPs
Además de información general sobre los ataques realizados por Murky Panda, es importante destacar su funcionamiento con enfoque en sus tácticas, técnicas y procedimientos (TTPs), considerando que este es un grupo capaz de pasar desapercibido por los sistemas de detección y persistir en entornos cloud actuales.
1. Acceso Inicial y Explotación de Vulnerabilidades
Murky Panda también se caracteriza por su capacidad de transformar vulnerabilidades n-day y zero-day en herramientas que faciliten sus operaciones. Como documentaron CrowdStrike y Microsoft, el grupo demostró agilidad excepcional en la explotación de fallas críticas, incluyendo:
- CVE-2023-3519: Vulnerabilidad de ejecución remota de código no autenticada que afecta Citrix NetScaler ADC y NetScaler Gateway. El grupo explotó esta falla para comprometer múltiples organizaciones, estableciendo puntos de entrada en infraestructuras críticas.
- CVE-2025-0282: Falla de ejecución remota de código que afecta Ivanti Pulse Connect VPN. Murky Panda utilizó la vulnerabilidad para invadir servidores expuestos públicamente sin requerimientos de autenticación.
Además de vulnerabilidades conocidas, el grupo también obtiene acceso inicial a través de ataques exitosos de password spray -- cuando el invasor prueba un gran número de contraseñas en la misma cuenta hasta encontrar la correcta -- y otras técnicas, incluyendo descubrimiento de credenciales a través de reconocimiento en repositorios públicos como GitHub.
Murky Panda también mantiene enfoque en proveedores de servicios de software y terceros vulnerables, como soluciones de TI y RMM.
2. Infraestructura y Evasión de Detección
Una vez establecido el acceso inicial, Murky Panda utiliza consistentemente web shells, incluyendo Neo-reGeorg, frecuentemente empleado por adversarios vinculados a China. Estas herramientas permiten ejecución de comandos, mantenimiento de persistencia y exfiltración de datos de entornos de víctimas.
Según investigaciones, el grupo también tiene acceso a CloudedHope, un malware personalizado analizado por CrowdStrike que consiste en un ejecutable ELF de 64 bits desarrollado en Golang y diseñado específicamente para sistemas Linux. CloudedHope implementa funcionalidades básicas de una Remote Access Tool (RAT), una categoría de malware que permite a los atacantes controlar remotamente sistemas comprometidos, ejecutar comandos, transferir archivos y monitorear actividades. Mientras tanto, se emplean varias técnicas anti-análisis, diseñadas para dificultar que los investigadores estudien el comportamiento del malware.
Aún en relación con CloudedHope, el malware utiliza comparaciones basadas en checksum. Es decir, verifica si está siendo ejecutado en el sistema objetivo; sin embargo, si detecta que está siendo analizado en un laboratorio, ejecuta una acción de distracción y oculta sus capacidades reales de los investigadores. Al implementar estas verificaciones, CloudedHope puede operar normalmente en sistemas de víctimas mientras se comporta de manera benigna cuando detecta intentos de análisis.
3. Movimiento Lateral
Como ya se señaló en este Boletín, el grupo Murky Panda demuestra tener comprensión sobre las arquitecturas de las empresas al moverse de entornos locales a aquellos en la nube.
En algunas invasiones, el grupo apuntó a servidores Microsoft Entra Connect, un objetivo que, cuando se compromete, permite al actor de amenaza escalar privilegios, acceder simultáneamente a entornos locales y cloud, y moverse lateralmente entre diferentes dominios de seguridad.
4. Manipulación de Service Principals
Una de las técnicas más sofisticadas documentadas por Microsoft involucra el abuso de service principals y aplicaciones OAuth con permisos administrativos para exfiltrar datos de correo electrónico, OneDrive y SharePoint vía MSGraph. El proceso específico incluye obtener acceso a una aplicación ya dentro del tenant para recopilación de datos de correo electrónico, agregar sus propias credenciales a la aplicación, y usar este acceso para robar información vía la API MSGraph.
El grupo fue observado comprometiendo aplicaciones multi-tenant, una técnica que potencialmente permite movimiento a través de diferentes tenants, acceso a recursos adicionales dentro de tenants, y exfiltración de datos. En algunas instancias, el grupo crea aplicaciones Entra ID específicamente para facilitar el robo de datos, típicamente nombrando estas aplicaciones para mezclarse en el entorno usando nomenclaturas que evocan servicios legítimos o temas de Office 365.
TTPs MITRE ATT&CK
| Táctica | Técnica | ID | Comportamiento Observado |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | El grupo demuestra capacidad excepcional para weaponizar rápidamente vulnerabilidades zero-day y n-day. Explota fallas en aplicaciones expuestas a internet como Citrix NetScaler, Commvault e Ivanti Pulse Connect VPN. |
| Initial Access | Valid Accounts | T1078 | Utiliza credenciales legítimas obtenidas a través de ataques de password spraying o encontradas en repositorios públicos como GitHub. |
| Initial Access | Trusted Relationship | T1199 | Compromete proveedores, proveedores cloud o socios que tienen acceso legítimo a entornos de víctimas finales. |
| Execution | Server Software Component: Web Shell | T1505.003 | El grupo instala web shells como Neo-reGeorg en servidores comprometidos. |
| Execution | Command and Scripting Interpreter | T1059 | Ejecución de comandos vía web shells y herramientas administrativas. |
| Persistence | Server Software Component: Web Shell | T1505.003 | Mantiene acceso a través de web shells desplegados. |
| Persistence | Create Account | T1136 | Crea cuentas backdoor temporales en tenants Entra ID para mantener acceso administrativo incluso si otras credenciales son descubiertas y revocadas. |
| Persistence | Account Manipulation | T1098 | Modifica cuentas existentes agregando credenciales propias a service principals. |
| Privilege Escalation | Valid Accounts: Cloud Accounts | T1078.004 | Explota relaciones DAP/GDAP para obtener automáticamente privilegios de Global Administrator. |
| Privilege Escalation | Domain or Tenant Policy Modification | T1484 | Modifica políticas de dominio o tenant para otorgar privilegios adicionales. |
| Defense Evasion | Indicator Removal: Clear Windows Event Logs | T1070.001 | Limpieza sistemática de logs para eliminar evidencia. |
| Defense Evasion | Indicator Removal: Timestomp | T1070.006 | Modificación de timestamps para obstaculizar análisis forense. |
| Defense Evasion | Obfuscated Files or Information | T1027 | Utiliza malware CloudedHope con ofuscación avanzada y medidas anti-análisis. |
| Defense Evasion | Masquerading | T1036 | Nombra aplicaciones maliciosas con temas que imitan servicios legítimos de Office 365. |
| Credential Access | Brute Force: Password Spraying | T1110.003 | Ataques sistemáticos de spray de contraseña contra múltiples cuentas. |
| Credential Access | Credentials from Password Stores | T1555 | Roba contraseñas almacenadas en key vaults. |
| Credential Access | OS Credential Dumping | T1003 | Extrae credenciales directamente del Active Directory. |
| Discovery | Account Discovery | T1087 | Identifica cuentas administrativas y sus permisos usando claves API comprometidas. |
| Discovery | Permission Groups Discovery | T1069 | Mapea grupos Admin Agent y Helpdesk Agent en CSPs. |
| Discovery | Software Discovery | T1518 | Analiza configuraciones cloud y relaciones entre diferentes servicios y aplicaciones. |
| Lateral Movement | Use Alternate Authentication Material: Application Access Token | T1550.001 | Uso de application registration secrets para autenticación como service principals. |
| Lateral Movement | Remote Services | T1021 | Movimiento a través de relaciones de confianza cloud. |
| Collection | Email Collection | T1114 | Recopilación de correos electrónicos vía MSGraph API y EWS API. |
| Collection | Data from Information Repositories | T1213 | Recopilación de documentos con información confidencial. |
| Collection | Data from Cloud Storage | T1530 | Acceso a OneDrive y SharePoint vía service principals comprometidos. |
| Command and Control | Proxy | T1090 | Uso de dispositivos SOHO comprometidos y redes encubiertas (Cyberoam, Zyxel, QNAP). |
| Command and Control | Encrypted Channel | T1573 | Comunicación vía canales cifrados, incluyendo red Tor. |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Exfiltración de datos vía canales de comando y control. |
| Exfiltration | Exfiltration Over Web Service | T1567 | Uso de APIs legítimas (MSGraph, EWS) para exfiltración de datos. |
IoCs
Los Indicadores de Compromiso (IoCs) relacionados con este grupo están disponibles en este enlace.
Conclusión
Murky Panda forma parte de la evolución de los APTs patrocinados por estados-nación, siendo responsable de demostrar cómo grupos sofisticados pueden transformar las relaciones comerciales de confianza entre empresas y sus proveedores en vectores de espionaje y ataques. Las técnicas de trusted-relationship compromise desarrolladas por el grupo materializan los riesgos anticipados por el Think Ahead Report 2025 de SEK, mientras confirman que "el pensamiento de Cloud Security First deja de ser un diferenciador y se convierte en un requisito para garantizar la continuidad del negocio".
Aunque las invasiones no se enfocan en empresas ubicadas en América Latina, las implicaciones siguen siendo críticas. El uso de infraestructuras cloud híbridas en la región, así como la dependencia de proveedores, crea superficies de ataque que ciertamente pueden ser explotadas por estos y otros invasores. Cuando un proveedor estadounidense, por ejemplo, es afectado en otro continente, las organizaciones latinoamericanas que usan sus servicios pueden automáticamente convertirse en objetivos secundarios.
La emergencia del grupo como especialista en trusted-relationship compromises debe servir como prueba de que las organizaciones ya no deben confiar completamente en las relaciones comerciales establecidas. Por lo tanto, la seguridad debe asumir que cualquier socio, proveedor o prestador de servicios puede representar un vector de ataque potencial -- lo que, consecuentemente, requiere una revisión de las estrategias defensivas de las organizaciones.
Recomendaciones
La sofisticación demostrada por Murky Panda en sus campañas de trusted-relationship compromise requiere un enfoque defensivo, así como abordamos otras amenazas. Como se vio, CrowdStrike observó actividad significativa conducida por Murky Panda, con el grupo demostrando conocimiento extensivo de entornos cloud.
Las siguientes recomendaciones se basan en mejores prácticas de la industria e integran servicios especializados ofrecidos por SEK para abordar específicamente las técnicas empleadas por este grupo APT.
Fortalecimiento de la Gestión de Relaciones de Confianza
La principal vulnerabilidad explotada by Murky Panda está en las relaciones comerciales establecidas entre organizaciones y sus proveedores cloud. Las empresas deben realizar auditorías sistemáticas de todos los socios que poseen acceso privilegiado a sus entornos, cuestionando si cada nivel de acceso es verdaderamente necesario y si los controles de seguridad de estos proveedores son adecuados.
Es esencial mapear todas las relaciones DAP/GDAP (Delegated Admin Privileges/Granular Delegated Admin Privileges) establecidas con Microsoft Cloud Solution Providers y otros socios tecnológicos. Las organizaciones deben implementar procesos rigurosos de due diligence que evalúen no solo la seguridad técnica sino también la resistencia cibernética de proveedores críticos. Esta evaluación integral puede ser estructurada a través del Third Party Risk Management de SEK, que tiene como objetivo identificar, evaluar y mitigar riesgos cibernéticos asociados con la cadena de suministro y terceros.
Evaluación de Seguridad de Identidades Cloud
El compromiso de service principals representa uno de los vectores de ataque más críticos utilizados por Murky Panda. Las organizaciones deben implementar auditoría continua de todas las credenciales de service principal en Microsoft Entra ID, prestando atención especial a credenciales recién agregadas o modificadas.
Es fundamental habilitar los logs de actividad de Microsoft Graph para obtener visibilidad completa sobre qué recursos están siendo accedidos por cada service principal. Las organizaciones deben establecer alertas para actividades que se desvíen de patrones esperados, como acceder recursos inesperados u originar inicios de sesión desde redes no autorizadas. La implementación de estas prácticas puede ser estructurada a través del Cloud Assessment de SEK -- tal servicio combina el análisis de prácticas aplicadas al entorno cloud y el análisis técnico de configuraciones.
Implementación de Arquitectura Zero Trust
El modelo Zero Trust es fundamental para combatir técnicas de trusted-relationship compromise, ya que elimina la confianza implícita en cualquier componente del sistema. Las organizaciones deben tratar cada service principal, aplicación y usuario como potencialmente comprometido, requiriendo verificación continua de identidad y contexto.
Esto incluye implementar Conditional Access riguroso y segregar entornos siempre que sea posible. La arquitectura debe asumir que un incidente eventualmente ocurrirá y por lo tanto limitar el alcance del daño a través de segmentación y controles de acceso.
Monitoreo Continuo de Entornos Cloud
Considerando que Murky Panda opera con persistencia, incluyendo limpieza de logs y modificación de timestamps, las organizaciones necesitan capacidades avanzadas de detección que van más allá del monitoreo tradicional.
El monitoreo debe enfocarse específicamente en patrones de acceso anómalos, creación no autorizada de credenciales, y movimiento lateral entre tenants. Los sistemas de detección deben ser configurados para identificar intentos de enmascarar aplicaciones maliciosas a través de nomenclaturas que imitan servicios legítimos de Office 365. Para esto, SEK ofrece servicios de MDR con capacidad 24/7, proporcionando monitoreo continuo especializado en detectar actividades sospechosas.
Gestión Proactiva de Configuraciones y Vulnerabilidades
El grupo demuestra capacidad para explotar vulnerabilidades zero-day y n-day, haciendo crítica la gestión proactiva de vulnerabilidades. Las organizaciones deben implementar programas de gestión de vulnerabilidades que prioricen correcciones basadas en contexto de explotación real, no solo en criticidad teórica.
Es fundamental mantener configuraciones de seguridad alineadas con benchmarks como CIS Controls, implementar hardening continuo de infraestructuras cloud, y asegurar que aplicaciones conectadas a internet sean regularmente probadas contra técnicas de compromiso. La gestión debe incluir monitoreo de supply chain attacks y evaluación continua de proveedores críticos. Estas prácticas pueden ser estructuradas a través del Continuous Threat Management de SEK, responsable de la identificación, priorización y gestión de vulnerabilidades, y Posture Management.
Preparación para Escenarios de Incidentes
Dado el historial de Murky Panda de mantener acceso prolongado y silencioso en entornos comprometidos, las organizaciones deben estar preparadas para escenarios donde el compromiso ya ocurrió. Esto requiere desarrollo de playbooks específicos para trusted-relationship attacks, incluyendo procedimientos para aislamiento rápido de tenants comprometidos y revocación masiva de credenciales de service principal.
Los planes de respuesta deben considerar la naturaleza de los ataques donde el compromiso de un proveedor puede afectar múltiples clientes simultáneamente. Las organizaciones deben probar estos planes a través de simulaciones realistas que incluyan escenarios de compromiso de proveedores críticos. Esta preparación puede ser desarrollada a través de ejercicios TableTop de SEK.
Educación y Concienciación Especializada
Aunque Murky Panda es un grupo técnico sofisticado, los vectores de acceso inicial aún incluyen técnicas tradicionales como password spraying y descubrimiento de credenciales en repositorios públicos. Los colaboradores deben ser entrenados específicamente sobre los riesgos únicos de entornos cloud híbridos y la importancia de prácticas seguras de gestión de código.
Los programas de concienciación deben incluir entrenamiento sobre reconocimiento de intentos de compromiso a través de aplicaciones legítimas comprometidas y entendimiento de cómo los ataques pueden propagarse a través de relaciones de confianza organizacionales. La implementación puede ser apoyada por el Security Awareness Service de SEK.
Monitoreo de la Situación de Ciberseguridad Mundial
Grupos sofisticados como Murky Panda evolucionan constantemente sus técnicas, adaptándose rápidamente a nuevos entornos tecnológicos y eludiendo medidas de seguridad implementadas por organizaciones. El "verano de Murky Panda" descrito por CrowdStrike demuestra cómo la actividad de grupos APT puede intensificarse en períodos específicos, requiriendo que las organizaciones se mantengan actualizadas sobre las últimas tendencias y técnicas observadas en el panorama global de amenazas.
Es fundamental que las empresas establezcan procesos estructurados para consumir, analizar y aplicar inteligencia de amenazas en sus operaciones de seguridad. La estructuración de este proceso de inteligencia continua puede ser apoyada por los servicios de Cyber Threat Intelligence de SEK, responsables de crear materiales como este Boletín de Inteligencia y otras investigaciones.
La implementación efectiva de estas recomendaciones requiere un enfoque coordinado que combine experiencia técnica, procesos organizacionales y tecnologías de vanguardia. Las empresas deben priorizar estas iniciativas considerando que la sofisticación de grupos como Murky Panda continuará evolucionando, haciendo esencial una postura de seguridad verdaderamente adaptativa y resistente.
Fuentes
SEK Content Hub
Access our content hub and check out the latest reports and news about cybersecurity.
Access Content Hub