Salt Typhoon un grupo chino de amenazas persistentes avanzadas (APT) patrocinado por el Estado y dirigido por el Ministerio de Seguridad del Estado de China (MSS). Activo desde al menos 2019, el grupo ha llevado a cabo algunas de las campañas de ciberespionaje más trascendentales de la historia reciente, comprometiendo a proveedores de telecomunicaciones, agencias gubernamentales e infraestructuras críticas de Estados Unidos en más de 80 países. El FBI lo ha calificado como una de las violaciones de seguridad más importantes de la historia de Estados Unidos (FBI, agosto de 2025).
Este informe sobre amenazas explica quiénes Salt Typhoon , cómo operan a lo largo del ciclo de vida del ataque, qué herramientas y malware , y qué deben saber los defensores para detectar y contener su actividad. Abarca las tácticas, técnicas y procedimientos (TTP) del grupo, correlacionados con MITRE ATT&CK, desglosa los comandos específicos de «living-off-the-land» que emplean y ofrece orientación sobre estrategias de detección basada en el comportamiento. Los analistas de SOC, los cazadores de amenazas, los arquitectos de seguridad y los CISO encontrarán información útil para reforzar las defensas contra Salt Typhoon otros grupos APT estatales similares.
¿Qué es Salt Typhoon?
Salt Typhoon un grupo de amenazas persistentes avanzadas vinculado al Ministerio de Seguridad del Estado de China, especializado en campañas de ciberespionaje a largo plazo contra proveedores de telecomunicaciones, organismos gubernamentales e infraestructuras críticas de todo el mundo. El grupo también se conoce como Earth Estries (Trend Micro), GhostEmperor (Kaspersky), FamousSparrow (ESET) y UNC2286 (Mandiant).
A diferencia de la mayoría de los actores de espionaje que se infiltran en una red, extraen datos y se marchan, Salt Typhoon la persistencia. Se ha observado que el grupo mantiene el acceso dentro de los entornos comprometidos durante meses o incluso años antes de ser descubierto. En al menos un caso confirmado, Salt Typhoon el acceso a una red de telecomunicaciones durante tres años (Cisco, 2025). Esta postura de doble propósito —la recopilación de inteligencia combinada con la capacidad de interrumpir los servicios durante una crisis futura— se alinea con los objetivos estratégicos más amplios de la República Popular China, incluida la preparación para una posible confrontación por Taiwán.
Los objetivos Salt Typhoonhan evolucionado considerablemente desde 2020. Las primeras campañas se centraron en organismos gubernamentales, hoteles y empresas tecnológicas del sudeste asiático y África. En 2024, el grupo se había expandido de forma agresiva hacia la infraestructura de telecomunicaciones de EE. UU., afectando al menos a nueve grandes operadores, entre ellos AT&T, Verizon, T-Mobile, Lumen y Charter Communications (Wall Street Journal, 2024). A nivel internacional, las víctimas abarcan empresas de telecomunicaciones, consultoras, contratistas de defensa, empresas químicas, proveedores de transporte y organizaciones sin ánimo de lucro en más de 20 países (Trend Micro, 2024).
La siguiente tabla recoge las convenciones de nomenclatura Salt Typhoonutilizadas por los principales proveedores de seguridad. Esto resulta útil para los cazadores de amenazas a la hora de cotejar informes de inteligencia, ya que una misma campaña puede aparecer con nombres diferentes según la fuente.
| Proveedor |
Alias |
Enfoque principal |
| Microsoft |
Salt Typhoon |
Telecomunicaciones, espionaje gubernamental |
| Trend Micro |
Estrías de la Tierra |
Campañas APT multisectoriales |
| Kaspersky |
GhostEmperor |
Intrusiones basadas en rootkits |
| ESET |
FamousSparrow |
Hoteles, objetivos gubernamentales |
| Mandiant / Google |
UNC2286 |
Seguimiento de clústeres sin categorizar |
| CrowdStrike |
OPERADOR PANDA |
Operaciones relacionadas con China |
| Recorded Future |
RedMike |
Infraestructura de telecomunicaciones: orientación |
Principales Salt Typhoon » y ampliación de su alcance
El alcance operativo Salt Typhoonse ha ampliado considerablemente entre 2023 y 2026, pasando de ser campañas de espionaje regionales a convertirse en una de las operaciones APT con mayor distribución geográfica que se han dado a conocer públicamente. El FBI confirmó en agosto de 2025 que el grupo había comprometido a más de 200 organizaciones en 80 países (FBI, 2025). La siguiente cronología resume los hitos más importantes.
| Fecha |
Evento |
| 2019-2023 |
Salt Typhoon campañas de espionaje dirigidas a organismos gubernamentales, hoteles y empresas tecnológicas de todo el sudeste asiático y África. |
| Septiembre de 2024 |
El Wall Street Journal informa de que Salt Typhoon proveedores de servicios de Internet y de banda ancha estadounidenses, atacando routers Cisco en los extremos de las redes. |
| Octubre de 2024 |
Funcionarios estadounidenses revelan que Salt Typhoon los sistemas de intervención telefónica de la CALEA para acceder a los metadatos de las llamadas de más de un millón de usuarios. Nueve grandes operadores han confirmado que se han visto afectados. |
| Diciembre de 2024 |
La CISA, la NSA, el FBI y los socios de Five Eyes publican unas directrices para mejorar la visibilidad y reforzar la seguridad de las infraestructuras de comunicaciones. |
| Enero de 2025 |
El Tesoro de EE. UU. impone sanciones a Sichuan Juxinhe Network Technology Co. El FBI ofrece una recompensa de 10 millones de dólares. |
| Junio de 2025 |
Viasat figura como víctima. Salt Typhoon al sector de las telecomunicaciones sudamericano con nuevas implantaciones (TernDoor, PeerTime, BruteEntry). |
| Agosto de 2025 |
El FBI confirma que hay más de 200 organizaciones afectadas en más de 80 países. Se ha publicado un aviso conjunto. Se ha revelado una filtración en la Guardia Nacional de un estado de EE. UU. |
| Noviembre de 2025 |
La ASIO australiana confirma que Salt Typhoon las telecomunicaciones y las infraestructuras críticas de Australia. |
| Diciembre de 2025 |
Se han detectado intrusiones en los sistemas de correo electrónico de las comisiones de la Cámara de Representantes de Estados Unidos. |
| Febrero de 2026 |
Noruega confirma el ataque. El FBI afirma que las amenazas «siguen muy vigentes». Singapur confirma que las cuatro empresas nacionales de telecomunicaciones han sufrido una filtración. La senadora Cantwell exige que los directores ejecutivos de AT&T y Verizon presten declaración. |
Noruega confirma el ataque. El FBI afirma que las amenazas «siguen muy vigentes». Singapur confirma que las cuatro empresas nacionales de telecomunicaciones han sufrido una filtración. La senadora Cantwell exige la comparecencia de los directores ejecutivos de AT&T y Verizon.
Su ámbito de actuación va mucho más allá de las telecomunicaciones. Salt Typhoon puesto en su punto de mira a empresas tecnológicas, consultoras, fabricantes de productos químicos, contratistas del sector de la defensa, proveedores de transporte y organizaciones sin ánimo de lucro (Trend Micro, 2024). La estructura operativa del grupo apunta a la existencia de varios equipos distintos, cada uno de ellos responsable de diferentes regiones y sectores verticales.
¿Cómo Salt Typhoon ?
Salt Typhoon una secuencia de ataque estructurada y en varias fases que combina el aprovechamiento de vulnerabilidades conocidas para obtener acceso inicial, el despliegue de malware personalizado malware la persistencia y el uso extensivo de técnicas de «living-off-the-land» para desplazarse lateralmente y eludir la detección. El sello distintivo del grupo es la paciencia: las campañas se desarrollan a lo largo de meses, y los atacantes van implementando herramientas adicionales de forma gradual a medida que evolucionan las necesidades operativas.
Acceso inicial: aprovechamiento de servidores expuestos al público
Salt Typhoon acceder al sistema aprovechando vulnerabilidades conocidas en servidores expuestos al público, dispositivos de red y productos VPN. Entre las vulnerabilidades confirmadas que se han aprovechado se incluyen:
- CVE-2023-46805 y CVE-2024-21887: Elusión de la autenticación e inyección de comandos en Ivanti Connect Secure
- CVE-2022-3236: Inyección de código en Sophos Firewall
- CVE-2021-26855 (ProxyLogon): SSRF en Microsoft Exchange
- CVE-2025-5777: Citrix NetScaler Gateway
- Varias vulnerabilidades de Cisco IOS XE que afectan a los routers periféricos
Ejecución y persistencia: malware personalizado malware las herramientas nativas de Windows
Una vez que Salt Typhoon la ejecución remota de código, el grupo implementa scripts cifrados de PowerShell que instalan puertas traseras, entre las que se incluyen el rootkit Demodex, SnappyBee, GhostSpider, HemiGate, Crowdoor, MASOL RAT y Cobalt Strike . Incluso en esta fase inicial, las herramientas integradas de Windows minimizan el rastro forense:
Elusión de la ejecución de PowerShell:
powershell -ex bypass -c "<decryption_key>"
Persistencia del registro:
reg add "HKCU\...\CurrentVersion\Run" /v "<n>" /t REG_SZ /d "<path>" /f
Exploración: análisis del dominio con herramientas integradas
Salt Typhoon del entorno de Active Directory mediante utilidades nativas:
cmd /c "net grupo 'admins dominio' /dominio"
wmic process get name,processid,commandline
Eludir las medidas de seguridad: integrarse en las operaciones habituales
La evasión de los sistemas de defensa es un proceso continuo, no una fase concreta. Entre las técnicas utilizadas se incluyen la ejecución «living-off-the-land», la instalación paralela de DLL a través de software antivirus legítimo (Norton, Bkav, IObit), los ataques de degradación de PowerShell, el cifrado de scripts, el borrado de registros y los rootkits en modo kernel (Demodex).
Acceso mediante credenciales y escalada de privilegios
La recopilación de credenciales se lleva a cabo mediante Mimikatz, SnappyBee, keyloggers y ataques Kerberos. La escalada de privilegios se basa en Cobalt Strike, rootkits y el aprovechamiento de vulnerabilidades dentro del entorno comprometido.
Movimiento lateral: propagación por la red con herramientas nativas
Salt Typhoon las herramientas administrativas de Windows para copiar y ejecutar cargas útiles a través de la red:
copy \\<target_ip>\C$\Windows\Temp\payload.bat
wmic /node:<target_ip> process call create "cmd /c ...\payload.bat"
El comando más destacado combina la persistencia, el movimiento lateral, la escalada de privilegios y la evasión de las defensas en una sola operación:
sc \\<target_ip> create VGAuthtools type= own start= auto
binpath= "C:\...\installutil.exe C:\...\malware.exe"
Mando y control y exfiltración de datos
La comunicación C2 persistente utiliza Cobalt Strike , Demodex y estrategias de doble canal que combinan una infraestructura dedicada con servicios legítimos (AnonFiles, File.io, GitHub, Gmail, LightNode VPS).
El espionaje actual y las posibles perturbaciones
Salt Typhoon un acceso constante para la recopilación continua de información y se posiciona para una posible interrupción de los servicios en caso de crisis geopolítica. En el marco de la campaña de telecomunicaciones, esto incluyó el acceso a los sistemas de intervención telefónica de la CALEA y la vigilancia de las comunicaciones de altos cargos del Gobierno.
Salt Typhoon mapeadas con MITRE ATT&CK
La tabla siguiente establece una correspondencia entre las técnicas confirmadas Salt Typhoony MITRE ATT&CK , lo que permite a los cazadores de amenazas crear reglas de detección y validar la cobertura de la cadena de ataque. Las entradas reflejan las TTP recogidas en el aviso conjunto de septiembre de 2025 (CISA AA25-239A) y en diversos informes de proveedores.
| Táctica de ATT&CK |
Técnicas observadas |
Salt Typhoon y métodos de Salt Typhoon |
| Acceso inicial |
Vulnerabilidad en una aplicación de acceso público (T1190) |
Ivanti, Sophos, Exchange, Cisco, Citrix: vulnerabilidades (CVE) |
| Ejecución |
Intérprete de comandos y scripts (T1059) |
PowerShell -ex bypass, cmd /c, WMIC |
| Persistencia |
Claves de ejecución del Registro (T1547.001), Creación de servicios (T1543.003), Shells web (T1505.003) |
reg add, sc create con uso indebido de installutil, shells web |
| Escalada de privilegios |
Vulnerabilidad (T1068), Elevación de privilegios (T1548) |
Cobalt Strike, rootkit Demodex, uso indebido de installutil |
| Evasión de la defensa |
Carga lateral de DLL (T1574.002), eliminación de indicadores (T1070), ofuscación (T1027) |
Instalación de aplicaciones por fuera de los canales oficiales, borrado de registros, cambio a una versión anterior de PS, cifrado |
| Acceso a credenciales |
Extracción de credenciales del sistema operativo (T1003), captura de entradas (T1056) |
Mimikatz, SnappyBee, registradores de teclas, ataques a Kerberos |
| Descubrimiento |
Detección de cuentas (T1087), Detección de procesos (T1057) |
grupo de red /dominio, wmic process, escáneres de puertos |
| Movimiento lateral |
Servicios remotos (T1021), Transferencia lateral de herramientas (T1570) |
Copia SMB, ejecución remota con WMIC, creación de servicios, RDP |
| Colección |
Datos del sistema local (T1005), recopilación de correos electrónicos (T1114) |
Preparación de datos, recopilación de direcciones de correo electrónico, interceptación según la ley CALEA |
| C2 |
Protocolo de capa de aplicación (T1071), canal cifrado (T1573) |
Cobalt Strike, Demodex, LightNode VPS, HTTP/TCP |
| Exfiltración |
Exfiltración a través de un servicio web (T1567) |
AnonFiles, File.io, GitHub, Gmail |
¿En qué se Salt Typhoon del Volt Typhoon?
Tanto Salt Typhoon Volt Typhoon grupos APT vinculados a la República Popular China, pero persiguen objetivos estratégicos distintos. Comprender estas diferencias ayuda a los defensores a priorizar sus estrategias de detección.
| Dimensión |
Salt Typhoon |
Volt Typhoon |
| Misión principal |
Ciberespionaje y recopilación de información |
Preparación para una disrupción disruptiva |
| Objetivos principales |
Telecomunicaciones, administración pública, defensa |
Energía, agua, transporte, logística militar |
| Acceso inicial |
zero-day de tipo «N-day» yzero-day » en servidores, routers y VPN |
Vulnerabilidad en un router SOHO, explotación de dispositivos periféricos |
| Técnica clave |
LotL + malware personalizado |
Vive casi exclusivamente de lo que le da la tierra (sin malware) |
| Tiempo de permanencia |
De meses a años (persistencia confirmada de 3 años) |
Años (presencia confirmada de más de 5 años) |
| Alcance |
Más de 200 organizaciones, más de 80 países |
Principalmente infraestructuras críticas de Estados Unidos |
Para los defensores, ambos grupos se aprovechan del mismo punto ciego en la detección: herramientas legítimas del sistema que ejecutan comandos de apariencia normal. Para detener cualquiera de ellos es necesaria una detección basada en el comportamiento que correlacione la actividad entre cloud de identidad, red y cloud .
Detección de actividad Salt Typhoon mediante IA conductual
Las técnicas de «vivir de lo que encuentra» Salt Typhoonlo hacen prácticamente invisible para los sistemas de detección basados en firmas y la supervisión limitada a los terminales. Para detectarlo, es necesario correlacionar las señales de comportamiento en toda la superficie de ataque: tráfico de red, comportamiento de las identidades y cloud .
Vectra AI detecta actividades Salt Typhoon analizando cómo se desarrollan las acciones en los distintos entornos, centrándose en los patrones de comportamiento de los atacantes en lugar de en indicadores conocidos. Durante un ataque de tipo Typhoon, la plataforma muestra detecciones que incluyen:
- Patrones inusuales de ejecución remota compatibles con el movimiento lateral basado en WMIC y PowerShell
- Actividad sospechosa de Kerberos que indica un robo de credenciales o ataques de «golden ticket»
- Anomalías en los privilegios en las que las cuentas amplían repentinamente sus derechos de acceso más allá de los límites establecidos
- Intentos de ataque por fuerza bruta en pymes y intercambio anómalo de archivos entre segmentos internos
- Túneles ocultos y canales cifrados, característicos de las comunicaciones C2
- Actividad anómala en PowerShell y Azure AD que indica un uso indebido en el ámbito de la identidad
Estos indicios son analizados por agentes de inteligencia artificial que clasifican, priorizan y visualizan automáticamente el desarrollo completo del ataque mediante gráficos dinámicos, de modo que los defensores puedan actuar antes de que el ataque avance.
Cómo protegerse contra Salt Typhoon
La defensa contra Salt Typhoon un enfoque por capas que aborde el acceso inicial basado en vulnerabilidades, la ejecución mediante técnicas «living-off-the-land», el uso indebido de identidades y la persistencia a largo plazo. Estas recomendaciones se basan en el aviso conjunto de la CISA, la NSA y el FBI (AA25-239A) y en los comportamientos observados en la campaña.
Aplica las actualizaciones de forma sistemática y da prioridad a los dispositivos periféricos. El acceso inicialSalt Typhoonse basa sistemáticamente en vulnerabilidades CVE conocidas en dispositivos VPN, cortafuegos y routers. El FBI destacó en febrero de 2026 que los errores de configuración básicos constituían los puntos de entrada.
Implemente la detección y respuesta de red en todo el entorno híbrido. Los agentes EDR no pueden ejecutarse en los routers y switches a los que Salt Typhoon . NDR ofrece visibilidad sobre el movimiento lateral, las anomalías de identidad y los canales C2 cifrados.
Supervise continuamente el comportamiento de las identidades. Esté atento a enumeraciones anómalas de administradores de dominio, escaladas inesperadas de privilegios, actividad inusual de Kerberos y uso indebido de cuentas de servicio.
Implemente la segmentación de la red y zero trust». Limite las vías de movimiento lateral segmentando la infraestructura crítica y aplicando el principio del mínimo privilegio.
Realiza una búsqueda proactiva utilizando MITRE ATT&CK que se muestra arriba. Busca ejecuciones inusuales de PowerShell, la creación de servicios remotos, la ejecución remota de WMIC, la carga lateral de DLL y modificaciones sospechosas del Registro.
Cifra todas las comunicaciones de extremo a extremo. El FBI recomendó el uso de mensajería cifrada de extremo a extremo como respuesta a las filtraciones en el sector de las telecomunicaciones.
