O grupo Volt Typhoon, diferente do Salt Typhoon, opera com objetivo de pré-posicionamento estratégico em infraestrutura crítica americana em vez de espionagem ativa. A CISA, NSA e FBI emitiram múltiplos alertas conjuntos em 2025 confirmando que o grupo havia mantido acesso silencioso em redes de energia, tratamento de água e telecomunicações por períodos de até cinco anos.
O diferencial tático do Volt Typhoon é o uso exclusivo de ferramentas nativas do sistema operacional (técnica conhecida como "living off the land") para reconhecimento, movimentação lateral e persistência. Ao evitar malware personalizado, o grupo reduz significativamente os artefatos forenses e dificulta a detecção por soluções de segurança baseadas em assinatura. Dispositivos de borda de rede (VPNs, firewalls, roteadores) são os principais vetores de entrada.
O objetivo declarado pelas autoridades é a capacidade de sabotagem em caso de conflito geopolítico entre EUA e China, particularmente em cenário de crise no estreito de Taiwan. Em 2025, análises de inteligência identificaram atividade do grupo em infraestruturas de aliados da OTAN.
Operadores de infraestrutura crítica devem implementar baselines de comportamento de rede para detectar uso anômalo de ferramentas nativas, revisar regularmente configurações de dispositivos de borda, aplicar segmentação de rede entre segmentos OT/IT e verificar integridade de firmware em equipamentos de rede.
Fonte: CISA / FBI / NSA.
Fonte e transparência
Fonte original: CISA
Data de publicação original: 01/06/2025
Status: conteúdo histórico (publicado há mais de 45 dias). Consulte a fonte para atualizações.
O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.