Salt Typhoon: APT chinês compromete mais de 600 organizações em 80 países via telecomunicações

Em agosto de 2025, a CISA e o FBI publicaram alerta conjunto (AA25-239A) documentando a extensão da campanha Salt Typhoon: um grupo de ameaça persistente avançada operado pelo Ministério de Segurança do Estado da China (MSS) que comprometeu mais de 600 organizações em mais de 80 países utilizando operadoras de telecomunicações como vetor de acesso.

O grupo, identificado também como UNC2286 ou Earth Estries, explorou vulnerabilidades em dispositivos de borda de rede — incluindo equipamentos Cisco, Ivanti e Palo Alto — para implantar backdoors persistentes em infraestrutura de telecomunicações. O objetivo principal é espionagem estratégica: interceptação de comunicações de funcionários governamentais e acesso a sistemas de vigilância legal de provedores de telecom.

O FBI notificou organizações afetadas e anunciou recompensa de US$ 10 milhões por informações sobre membros do grupo. O incidente afeta principalmente operadoras de telecomunicações, empresas de infraestrutura crítica e parceiros comerciais de governos. Em outubro de 2025, tentativas de infiltração em operadoras europeias foram documentadas.

Organizações de telecomunicações e infraestrutura crítica devem revisar o inventário de dispositivos de borda voltados à internet, garantir que patches críticos estejam aplicados, habilitar logging centralizado de eventos de rede e implementar segmentação de rede para limitar movimentação lateral a partir de dispositivos de borda comprometidos.

Fonte: CISA / FBI (Alerta AA25-239A).