A BeyondTrust confirmou que uma recente violação de segurança afetou 17 clientes de sua solução Remote Support SaaS. O ataque foi realizado por meio da exploração de uma vulnerabilidade zero day em um aplicativo de terceiros, permitindo que os invasores acessassem um ativo na infraestrutura da empresa na AWS. A partir desse ponto, os criminosos obtiveram uma chave de API comprometida, que foi utilizada para redefinir senhas locais de aplicações e conceder acesso não autorizado às instâncias afetadas.

A violação foi detectada em 5 de dezembro de 2024, e a BeyondTrust iniciou uma investigação detalhada para entender o escopo e o impacto do ataque. Segundo a empresa, os invasores utilizaram um vetor de ataque em um serviço externo para penetrar em sua infraestrutura, obtendo assim privilégios que permitiram explorar um ambiente separado que operava o Remote Support. No entanto, o nome do aplicativo vulnerável não foi divulgado pela companhia. No decorrer da investigação, a BeyondTrust também identificou duas vulnerabilidades em seus próprios produtos, registradas como CVE-2024-12356 e CVE-2024-12686.

Essas falhas já foram corrigidas, e a empresa garantiu que medidas adicionais foram tomadas para reforçar a segurança da plataforma e prevenir futuras explorações. Como precaução, todas as instâncias afetadas foram suspensas e os clientes impactados receberam novos ambientes de suporte remoto. O ataque foi atribuído a um grupo hacker chinês conhecido como Silk Typhoon, anteriormente chamado Hafnium. Esse grupo já esteve envolvido em outras invasões contra infraestrutura crítica nos EUA e em outros países. Como resposta, o Departamento do Tesouro dos EUA impôs sanções contra o cidadão chinês Yin Kecheng, acusado de participação na violação da rede do próprio Tesouro.