美國司法部（DOJ）7月上半在義大利米蘭逮捕中國駭客，引發全球關注，當局的理由在於，此人參與駭客組織Silk Typhoon（別名Hafnium、Murky Panda），於2020至2021年接收中國政府命令，從事竊取COVID-19相關研究的成果，過程中利用Exchange零時差漏洞ProxyLogon（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065），而能從超過1萬家美國企業組織竊得敏感資訊。雖然成員遭到執法單位逮捕，但資安業者最近發出警告，提醒大家注意這群攻擊者仍持續鎖定北美發動攻擊。

資安業者CrowdStrike指出，他們從去年下旬觀察到這些駭客的攻擊行動，針對北美的政府機關、科技、學術、法律，以及專業服務的企業組織而來，這些駭客不僅將已知漏洞和未知漏洞當作武器（其中一個是Citrix NetScaler重大漏洞CVE-2023-3519），往往藉由曝露在網際網路的應用系統取得受害組織的初始入侵管道，還會透過雲端信任關係，試圖存取下游客戶環境。

對於這些駭客的目標，可能主要是進行情報收集，過程中不僅會部署名為Neo-reGeorg的Web Shell，也會運用以Go語言打造的惡意程式CloudedHope，而且，該組織與其他中國駭客都採取類似的策略：滲透SOHO設備來充當他們的基礎設施。

在其中兩起資安事故當中，Silk Typhoon利用零時差漏洞來入侵SaaS供應商的雲端環境，一旦成功取得初始存取管道，他們就會決定攻擊雲端環境的邏輯，並進一步向下游客戶移動。

這些受害業者當中，至少有一家是採用Entra ID控管客戶SaaS服務的存取，Silk Typhoon幾乎取得SaaS服務供應商的應用程式註冊金鑰，然後採用Service Principal通過身分驗證，登入下游客戶的環境，甚至進一步存取下游客戶的電子郵件。

另一起資安事故裡，這群駭客入侵某個微軟合作的雲端解決方案供應商，由於這些業者通常會運用委任管理員權限（Delegated Administrative Privileges，DAP）或新的細部委任管理員權限（GDAP），控管多租戶的存取，而攻擊者設法挾持隸屬管理員代理群組（Admin Agent）的帳號之後，得到全域管理員（Global Administrator）權限，而能入侵所有下游的租戶。接著，他們在客戶環境建立後門帳號並提升權限，而能夠存取電子郵件及應用程式的資料。

值得留意的是，Silk Typhoon針對雲端環境而來的情況，今年3月微軟曾提出類似的警告。當時他們指出這些駭客將攻擊目標轉向IT供應鏈，自去年底開始大量攻擊雲端服務供應商、遠端管理工具、特權存取管理系統，在成功取得API金鑰及管理帳密後，入侵下游客戶的雲端帳號及內部系統，藉此掌握企業內部的電子郵件、SharePoint及OneDrive資料。