Tifón de lino
Flax Typhoon es un grupo de ciberespionaje con sede en China que se infiltra en organizaciones explotando servicios de cara al público y utilizando software legítimo para mantener un acceso sigiloso a largo plazo sin recurrir al malware tradicional.
El origen del tifón del lino
Flax Typhoon es un grupo de actividad de un Estado-nación con sede en China que Microsoft lleva rastreando desde mediados de 2021. El actor se centra en el acceso y el espionaje a largo plazo, operando con un mínimo de malware a medida. En lugar de ello, el grupo se basa en gran medida en binarios "vivos en la tierra", software legítimo de terceros, web shells y actividades prácticas de teclado para mantener una presencia silenciosa en las redes objetivo. Microsoft atribuye a este grupo una campaña dirigida principalmente contra organizaciones de Taiwán, aunque se ha observado actividad en otros lugares.
Países afectados por el tifón del lino
La actividad se concentra en Taiwán, con algunas víctimas en el Sudeste Asiático, Norteamérica y África. Las herramientas y técnicas son reutilizables y podrían aplicarse fuera de la región.
Industrias afectadas por el tifón del lino
Flax Typhoon se ha dirigido principalmente a organismos gubernamentales, instituciones educativas, empresas manufactureras críticas y organizaciones de tecnología de la información. La campaña parece estar más orientada a la recopilación que a la interrupción, en consonancia con los objetivos de espionaje.
Víctimas del tifón del lino
Microsoft informó de docenas de organizaciones afectadas; las víctimas incluyen servidores orientados a Internet, puertas de enlace VPN y servidores que ejecutan servicios web, Java y SQL. El acceso inicial suele realizarse a través de servicios públicos y shells web.
Método de ataque de Flax Typhoon
Explota vulnerabilidades conocidas en aplicaciones y servicios de cara al público para desplegar web shells como China Chopper.
Utiliza herramientas públicas de escalada de privilegios de código abierto (Juicy Potato, BadPotato y variantes) y exploits de vulnerabilidades conocidas para elevar privilegios en hosts comprometidos.
Establece el acceso a largo plazo activando la persistencia RDP, desactivando la autenticación a nivel de red (NLA), sustituyendo los binarios de accesibilidad (Sticky Keys/sethc.exe) e instalando/configurando un cliente VPN para tunelizar el tráfico a la infraestructura del actor. Opera con cuentas legítimas, utiliza LOLBins y binarios de sistema firmados (certutil, bitsadmin, etc.), y evita el malware pesado para reducir la detección.
Vuelca credenciales y memoria de LSASS utilizando herramientas como Mimikatz y otras técnicas de volcado de credenciales.
Utiliza los túneles VPN establecidos y los servicios remotos legítimos para explorar las redes y desplazarse lateralmente.
Aprovecha las utilidades integradas y los servicios remotos para sondear y acceder a otros sistemas.
Ejecuta comandos y herramientas ligeras de forma interactiva, recopila credenciales e información de configuración y organiza los datos para su exfiltración a través de túneles establecidos o hosts proxy.
Microsoft no observó amplias acciones destructivas en esta campaña; la actividad parece centrada en el acceso y la recopilación sigilosos más que en el sabotaje.
Explota vulnerabilidades conocidas en aplicaciones y servicios de cara al público para desplegar web shells como China Chopper.
Utiliza herramientas públicas de escalada de privilegios de código abierto (Juicy Potato, BadPotato y variantes) y exploits de vulnerabilidades conocidas para elevar privilegios en hosts comprometidos.
Establece el acceso a largo plazo activando la persistencia RDP, desactivando la autenticación a nivel de red (NLA), sustituyendo los binarios de accesibilidad (Sticky Keys/sethc.exe) e instalando/configurando un cliente VPN para tunelizar el tráfico a la infraestructura del actor. Opera con cuentas legítimas, utiliza LOLBins y binarios de sistema firmados (certutil, bitsadmin, etc.), y evita el malware pesado para reducir la detección.
Vuelca credenciales y memoria de LSASS utilizando herramientas como Mimikatz y otras técnicas de volcado de credenciales.
Utiliza los túneles VPN establecidos y los servicios remotos legítimos para explorar las redes y desplazarse lateralmente.
Aprovecha las utilidades integradas y los servicios remotos para sondear y acceder a otros sistemas.
Ejecuta comandos y herramientas ligeras de forma interactiva, recopila credenciales e información de configuración y organiza los datos para su exfiltración a través de túneles establecidos o hosts proxy.
Microsoft no observó amplias acciones destructivas en esta campaña; la actividad parece centrada en el acceso y la recopilación sigilosos más que en el sabotaje.
TTPs utilizados por Flax Typhoon
Cómo detectar el tifón del lino con Vectra AI
Preguntas frecuentes
¿Es Flax Typhoon un ransomware destructivo o está centrado en el espionaje?
Microsoft observó una actividad de tipo espionaje centrada en el acceso a largo plazo y la recopilación de credenciales, no en el ransomware destructivo.
¿Qué dificulta la detección de este actor?
El uso intensivo de herramientas legítimas, binarios del sistema y cuentas válidas reduce las detecciones de firmas y aumenta los falsos negativos; se requiere detección y correlación de comportamientos.
¿Qué artefactos deberían ser prioritarios a la hora de clasificar una sospecha de compromiso?
Archivos web shell en servidores públicos, cambios en el registro que desactivan NLA, sustituciones binarias de accesibilidad (sethc.exe), procesos VPN SoftEther bajo cuentas atípicas y volcados LSASS.
¿Existen consultas de caza o reglas de detección publicadas que se puedan utilizar?
Sí, Microsoft publicó consultas de caza y detecciones de ejemplo de Microsoft 365 Defender y Sentinel, incluidos ejemplos de KQL y asignación de TI. Utilícelos como referencia y adáptelos a su telemetría.
¿Deberíamos bloquear las IP que Microsoft incluyó en la lista?
Bloquear o bloquear infraestructuras maliciosas conocidas cuando sea factible desde el punto de vista operativo, pero tratar las IP como efímeras. Combinar bloqueos de IP con detecciones de comportamiento para una cobertura duradera.
¿Cómo priorizar la corrección tras la detección?
Aísle e investigue inmediatamente los hosts comprometidos, restablezca las cuentas afectadas, reconstruya los servidores orientados a Internet en los que se encuentren web shells y realice rotaciones de credenciales.
¿Qué telemetría es más valiosa para detectar a este grupo?
Creación de procesos y telemetría de línea de comandos en puntos finales, conexiones de red a puntos finales externos inusuales, modificaciones de archivos del servidor web y registros HTTP, y rastros EDR de acceso a LSASS.
¿Los productos estándar de AV detectan su utillaje?
Algunas herramientas (Mimikatz, puertas traseras conocidas) son detectadas por AV, pero gran parte de la actividad de Flax Typhoon utiliza LOLBins y herramientas legítimas; confía en las detecciones de comportamiento EDR y la correlación para la cobertura.
¿Alguna lista de comprobación de endurecimiento rápido?
Parchee los servicios públicos, aplique MFA, vuelva a activar NLA, restrinja el acceso RDP y VPN mediante acceso condicional o hosts de salto, active las protecciones LSASS y supervise el uso de certutil/bitsadmin.
¿Dónde puedo obtener los datos oficiales, las consultas sobre la caza y los COI?
La entrada del blog de Microsoft contiene el análisis completo, consultas de caza (KQL).