Volt Typhoon es un sigiloso grupo APT patrocinado por el Estado y asociado con la República Popular China, que tiene como objetivo organizaciones de infraestructuras críticas principalmente en Estados Unidos.
Volt Typhoon es un grupo de amenazas persistentes avanzadas (APT) patrocinado por el Estado y vinculado a la República Popular China (RPC). Activa al menos desde mediados de 2021, esta APT es conocida por atacar organizaciones de infraestructuras críticas en Estados Unidos. Sus operaciones se caracterizan por tácticas sigilosas y prácticas, dirigidas al espionaje y al mantenimiento del acceso para la exfiltración de datos a largo plazo. Volt Typhoon forma parte de la agenda más amplia de ciberespionaje de China, centrada en comprometer objetivos estratégicos y evitar la detección mediante el uso de herramientas integradas de Windows y técnicas de supervivencia.
Aunque su principal objetivo ha sido Estados Unidos, es probable que las actividades de Volt Typhoonno estén limitadas geográficamente, dados los objetivos globales de inteligencia de China. Las operaciones del grupo pretenden vigilar y explotar potencialmente a adversarios geopolíticos.
Volt Typhoon se centra en industrias de importancia estratégica, como las telecomunicaciones, la industria manufacturera, los proveedores de servicios públicos y sectores de infraestructuras críticas como la energía y el transporte. Estos objetivos sugieren una motivación para recopilar inteligencia y potencialmente interrumpir operaciones.
Volt Typhoon se centra en industrias de importancia estratégica, como las telecomunicaciones, la industria manufacturera, los proveedores de servicios públicos y sectores de infraestructuras críticas como la energía y el transporte. Estos objetivos sugieren una motivación para recopilar inteligencia y potencialmente interrumpir operaciones.
Aunque a menudo no se revelan las organizaciones concretas, se ha observado que Volt Typhoon compromete entidades de infraestructuras críticas y aprovecha los sistemas comprometidos para recopilar datos. Sus tácticas sugieren que se centran en organizaciones que pueden proporcionar información valiosa para las ventajas estratégicas nacionales.
Volt Typhoon aprovecha las vulnerabilidades de los dispositivos conectados a Internet, en particular los equipos de red de pequeñas oficinas/oficinas domésticas (SOHO), para obtener un acceso inicial. Entre las técnicas empleadas se encuentran el espionaje de contraseñas y la explotación de protocolos de gestión remota poco seguros.
Una vez establecido el acceso, el grupo eleva los privilegios para obtener un control de mayor nivel sobre la red comprometida. Esto a menudo implica abusar de credenciales legítimas.
Volt Typhoon se basa en técnicas de supervivencia, utilizando exclusivamente herramientas integradas de Windows como PowerShell y Windows Management Instrumentation (WMI) para evitar ser detectado. Evitan desplegar malware para mantener el sigilo.
Recolectan credenciales utilizando herramientas como Mimikatz y buscan información sensible en redes comprometidas.
El grupo utiliza comandos para identificar las configuraciones del sistema, las cuentas de usuario y la topología de la red, lo que permite el movimiento lateral y una mayor explotación.
Volt Typhoon utiliza servicios remotos y RDP para navegar por sistemas comprometidos manteniendo la seguridad operativa.
Se identifican y recopilan datos de interés, como comunicaciones por correo electrónico, archivos sensibles e información relacionada con la infraestructura.
Su fase de ejecución incluye la ejecución de scripts y comandos para mantener la persistencia y alcanzar los objetivos operativos.
Exfiltran los datos recopilados utilizando protocolos de red estándar para mezclarse con el tráfico normal y eludir la detección.
Volt Typhoon se centra principalmente en la recopilación de información a largo plazo y no en acciones disruptivas inmediatas. Sin embargo, sus capacidades podrían permitir futuras operaciones de sabotaje.
Volt Typhoon aprovecha las vulnerabilidades de los dispositivos conectados a Internet, en particular los equipos de red de pequeñas oficinas/oficinas domésticas (SOHO), para obtener un acceso inicial. Entre las técnicas empleadas se encuentran el espionaje de contraseñas y la explotación de protocolos de gestión remota poco seguros.
Una vez establecido el acceso, el grupo eleva los privilegios para obtener un control de mayor nivel sobre la red comprometida. Esto a menudo implica abusar de credenciales legítimas.
Volt Typhoon se basa en técnicas de supervivencia, utilizando exclusivamente herramientas integradas de Windows como PowerShell y Windows Management Instrumentation (WMI) para evitar ser detectado. Evitan desplegar malware para mantener el sigilo.
Recolectan credenciales utilizando herramientas como Mimikatz y buscan información sensible en redes comprometidas.
El grupo utiliza comandos para identificar las configuraciones del sistema, las cuentas de usuario y la topología de la red, lo que permite el movimiento lateral y una mayor explotación.
Volt Typhoon utiliza servicios remotos y RDP para navegar por sistemas comprometidos manteniendo la seguridad operativa.
Se identifican y recopilan datos de interés, como comunicaciones por correo electrónico, archivos sensibles e información relacionada con la infraestructura.
Su fase de ejecución incluye la ejecución de scripts y comandos para mantener la persistencia y alcanzar los objetivos operativos.
Exfiltran los datos recopilados utilizando protocolos de red estándar para mezclarse con el tráfico normal y eludir la detección.
Volt Typhoon se centra principalmente en la recopilación de información a largo plazo y no en acciones disruptivas inmediatas. Sin embargo, sus capacidades podrían permitir futuras operaciones de sabotaje.
Lista de las Detecciones disponibles en la Plataforma Vectra AI que indicarían un ciberataque.