Volt Typhoon

Volt Typhoon es un sigiloso grupo APT patrocinado por el Estado y asociado con la República Popular China, que tiene como objetivo organizaciones de infraestructuras críticas principalmente en Estados Unidos.

¿Está su organización a salvo de los ataques de Volt Typhoon?

El origen de Volt Typhoon

Volt Typhoon es un grupo de amenazas persistentes avanzadas (APT) patrocinado por el Estado y vinculado a la República Popular China (RPC). Activa al menos desde mediados de 2021, esta APT es conocida por atacar organizaciones de infraestructuras críticas en Estados Unidos. Sus operaciones se caracterizan por tácticas sigilosas y prácticas, dirigidas al espionaje y al mantenimiento del acceso para la exfiltración de datos a largo plazo. Volt Typhoon forma parte de la agenda más amplia de ciberespionaje de China, centrada en comprometer objetivos estratégicos y evitar la detección mediante el uso de herramientas integradas de Windows y técnicas de supervivencia.

Objetivos

Volt TyphoonObjetivos

Países destinatarios de Volt Typhoon

Aunque su principal objetivo ha sido Estados Unidos, es probable que las actividades de Volt Typhoonno estén limitadas geográficamente, dados los objetivos globales de inteligencia de China. Las operaciones del grupo pretenden vigilar y explotar potencialmente a adversarios geopolíticos.

Industrias a las que se dirige Volt Typhoon

Volt Typhoon se centra en industrias de importancia estratégica, como las telecomunicaciones, la industria manufacturera, los proveedores de servicios públicos y sectores de infraestructuras críticas como la energía y el transporte. Estos objetivos sugieren una motivación para recopilar inteligencia y potencialmente interrumpir operaciones.

Industrias a las que se dirige Volt Typhoon

Volt Typhoon se centra en industrias de importancia estratégica, como las telecomunicaciones, la industria manufacturera, los proveedores de servicios públicos y sectores de infraestructuras críticas como la energía y el transporte. Estos objetivos sugieren una motivación para recopilar inteligencia y potencialmente interrumpir operaciones.

Volt Typhoonvíctimas

Aunque a menudo no se revelan las organizaciones concretas, se ha observado que Volt Typhoon compromete entidades de infraestructuras críticas y aprovecha los sistemas comprometidos para recopilar datos. Sus tácticas sugieren que se centran en organizaciones que pueden proporcionar información valiosa para las ventajas estratégicas nacionales.

Método de ataque

Volt TyphoonMétodo Attach

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Volt Typhoon aprovecha las vulnerabilidades de los dispositivos conectados a Internet, en particular los equipos de red de pequeñas oficinas/oficinas domésticas (SOHO), para obtener un acceso inicial. Entre las técnicas empleadas se encuentran el espionaje de contraseñas y la explotación de protocolos de gestión remota poco seguros.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Una vez establecido el acceso, el grupo eleva los privilegios para obtener un control de mayor nivel sobre la red comprometida. Esto a menudo implica abusar de credenciales legítimas.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Volt Typhoon se basa en técnicas de supervivencia, utilizando exclusivamente herramientas integradas de Windows como PowerShell y Windows Management Instrumentation (WMI) para evitar ser detectado. Evitan desplegar malware para mantener el sigilo.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Recolectan credenciales utilizando herramientas como Mimikatz y buscan información sensible en redes comprometidas.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

El grupo utiliza comandos para identificar las configuraciones del sistema, las cuentas de usuario y la topología de la red, lo que permite el movimiento lateral y una mayor explotación.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Volt Typhoon utiliza servicios remotos y RDP para navegar por sistemas comprometidos manteniendo la seguridad operativa.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Se identifican y recopilan datos de interés, como comunicaciones por correo electrónico, archivos sensibles e información relacionada con la infraestructura.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Su fase de ejecución incluye la ejecución de scripts y comandos para mantener la persistencia y alcanzar los objetivos operativos.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Exfiltran los datos recopilados utilizando protocolos de red estándar para mezclarse con el tráfico normal y eludir la detección.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Volt Typhoon se centra principalmente en la recopilación de información a largo plazo y no en acciones disruptivas inmediatas. Sin embargo, sus capacidades podrían permitir futuras operaciones de sabotaje.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Volt Typhoon aprovecha las vulnerabilidades de los dispositivos conectados a Internet, en particular los equipos de red de pequeñas oficinas/oficinas domésticas (SOHO), para obtener un acceso inicial. Entre las técnicas empleadas se encuentran el espionaje de contraseñas y la explotación de protocolos de gestión remota poco seguros.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Una vez establecido el acceso, el grupo eleva los privilegios para obtener un control de mayor nivel sobre la red comprometida. Esto a menudo implica abusar de credenciales legítimas.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Volt Typhoon se basa en técnicas de supervivencia, utilizando exclusivamente herramientas integradas de Windows como PowerShell y Windows Management Instrumentation (WMI) para evitar ser detectado. Evitan desplegar malware para mantener el sigilo.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Recolectan credenciales utilizando herramientas como Mimikatz y buscan información sensible en redes comprometidas.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

El grupo utiliza comandos para identificar las configuraciones del sistema, las cuentas de usuario y la topología de la red, lo que permite el movimiento lateral y una mayor explotación.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Volt Typhoon utiliza servicios remotos y RDP para navegar por sistemas comprometidos manteniendo la seguridad operativa.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Se identifican y recopilan datos de interés, como comunicaciones por correo electrónico, archivos sensibles e información relacionada con la infraestructura.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Su fase de ejecución incluye la ejecución de scripts y comandos para mantener la persistencia y alcanzar los objetivos operativos.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Exfiltran los datos recopilados utilizando protocolos de red estándar para mezclarse con el tráfico normal y eludir la detección.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Volt Typhoon se centra principalmente en la recopilación de información a largo plazo y no en acciones disruptivas inmediatas. Sin embargo, sus capacidades podrían permitir futuras operaciones de sabotaje.

MITRE ATT&CK Cartografía

TTPs utilizados por Volt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Detección de plataformas

Cómo detectar Volt Typhoon con Vectra AI

Lista de las Detecciones disponibles en la Plataforma Vectra AI que indicarían un ciberataque.

Preguntas frecuentes