Las empresas chinas vinculadas al grupo de piratería patrocinado por el estado conocido como Typhoon de Silk (también conocido como Hafnium) se han identificado como detrás de una docena de patentes de tecnología, arrojando luz sobre el sombrío ecosistema de contratación cibernética y sus capacidades ofensivas.
Las patentes cubren forenses y herramientas de intrusión que habilitan la recopilación de datos de punto final cifrado, los forenses del dispositivo Apple y el acceso remoto a los enrutadores y los dispositivos domésticos inteligentes, dijo Sentinelone en un nuevo informe compartido con Hacker News.
“Esta nueva visión de las capacidades de las empresas afiliadas al hafnium destaca una deficiencia importante en el espacio de atribución de actores de amenaza: el seguimiento del actor de amenazas típicamente vincula campañas y grupos de actividad con un actor nombrado”, dijo Dakota Cary, asesor estratégico centrado en China para Sentinellabs.
“Nuestra investigación demuestra la fortaleza de identificar no solo a las personas detrás de los ataques, sino también las empresas para las que trabajan, las capacidades que tienen esas compañías y cómo esas capacidades fortifican las iniciativas de las entidades estatales que contratan con estas empresas”.
Los hallazgos se basan en la acusación del Departamento de Justicia de los Estados Unidos (DOJ) de julio de 2025 de Xu Zewei y Zhang Yu, quienes, que trabajan en nombre del Ministerio de Seguridad del Estado de China (MSS), están acusados de orquestar la campaña de explotación generalizada en 2021 dirigida al servidor de Microsoft Exchange de Microsoft Utilizados con los días que los teroes inmetidos por el Proxilogon.
Documentos judiciales alegaron que Zewei trabajó para una compañía llamada Shanghai Powerock Network Co. Ltd., mientras que Yu trabajaba en la compañía de ciencia y tecnología de la información de Shanghai Firetech, Ltd. Se dice que ambos individuos operaban bajo la discreción de la Oficina de Seguridad del Estado de Shanghai (SSSB).
Curiosamente, Natto Pensiling informó que Powerock desactivó su negocio el 7 de abril de 2021, poco más de un mes después de que Microsoft señaló los dedos en China para la actividad de explotación del día cero. Zewei se uniría a Chaitin Tech, otra firma prominente de ciberseguridad, solo para cambiar de trabajo nuevamente y comenzar a trabajar como gerente de TI en Shanghai GTA Semiconductor Ltd.
Vale la pena mencionar aquí en esta etapa que Yin Kecheng, un hacker vinculado al tifón de seda, fue empleado en una tercera empresa china llamada Compañía de Tecnología de la Información de Shanghai Heiying, Limited, que fue establecida por Zhou Shuai, un hacker patriótico chino y su supuesto corredor de datos.
“Shanghai Firetech trabajó en una tarea específica transmitida por los oficiales de MSS”, explicó Cary. “Shanghai Firetech y los conspiradores obtuvieron una relación continua y confiable con la principal oficina regional de MSS, la SSSB”.
“Esta naturaleza ‘dirigida’ de la relación entre el SSSB y estas dos compañías contornos el sistema escalonado de atuendos de piratería ofensiva en China”.
Una mayor investigación sobre la red de conexiones entre los individuos y sus empresas ha descubierto patentes presentadas por Shanghai Firetech y Shanghai Siling Commerce Consulting Center, una firma fundada conjuntamente por Yu y Yin Wenji, CEO de Shanghai Firetech para recolectar “evidencia” de dispositivos de Apple, Routers y Equipos Confensivos.
También hay evidencia que sugiere que Shanghai Firetech también se dedica al desarrollo de soluciones que podrían permitir operaciones de acceso cercano contra individuos de interés.
“La variedad de herramientas bajo el control de Shanghai Firetech excede las atribuidas al Hafnium y el Typhoon de seda públicamente”, dijo Cary. “Las capacidades pueden haberse vendido a otras oficinas regionales de MSS y, por lo tanto, no se atribuyen al Hafnium, a pesar de ser propiedad de la misma estructura corporativa”.
