HAFNIUM

APT / EstatalG0125
OrigemChina
Técnicas (MITRE ATT&CK)44
FonteMITRE ATT&CK
Também conhecido como:Operation Exchange MarauderSilk Typhoon

Análise Vexday

HAFNIUM é um grupo de espionagem cibernética com provável patrocínio estatal, originário da China, ativo pelo menos desde janeiro de 2021 e rastreado pela MITRE ATT&CK sob o identificador G0125. O grupo — também referenciado como Operation Exchange Marauder e Silk Typhoon — tem como alvo prioritário entidades nos Estados Unidos em setores variados, incluindo pesquisa de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, contratantes de defesa, centros de pesquisa em políticas públicas e ONGs. Entre as táticas documentadas, destaca-se o uso de ferramentas de gerenciamento remoto e software em nuvem para acesso inicial, além da capacidade demonstrada de operacionalizar rapidamente exploits para vulnerabilidades identificadas em dispositivos de borda — com 2 CVEs atribuídas e 44 técnicas ATT&CK mapeadas.

Técnicas (MITRE ATT&CK) 44

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento
Email AddressesGather Victim Network InformationIP AddressesClient ConfigurationsCode Repositories
Preparação de recursos
Virtual Private ServerBotnetWeb ServicesBotnet
Acesso inicial
Exploit Public-Facing ApplicationTrusted Relationship
Execução
PowerShellWindows Command Shell
Persistência
Account ManipulationDomain AccountWeb Shell
Escalada de privilégio
Exploitation for Privilege Escalation
Acesso a credenciais
LSASS MemoryNTDSPassword SprayingCloud Secrets Management Stores
Descoberta
System Network Configuration DiscoveryInternet Connection DiscoveryRemote System DiscoverySystem Owner/User DiscoveryProcess DiscoveryFile and Directory Discovery
Movimento lateral
Application Access Token
Coleta
Data from Local SystemRemote Email CollectionAutomated CollectionSharepointData from Cloud StorageArchive via Utility
Comando e controle
Web ProtocolsNon-Application Layer ProtocolIngress Tool TransferStandard Encoding
Exfiltração
Exfiltration to Cloud Storage
defense-impairment
Clear Windows Event Logs
stealth
Local AccountsCloud AccountsRundll32Hidden Files and Directories

Vulnerabilidades exploradas 2

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2016-6662EPSS 68%

O grupo HAFNIUM usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →