Salt Typhoon es un grupo de amenazas persistentes avanzadas que se cree operado por el Ministerio de Seguridad del Estado (MSS) de China y que ha llevado a cabo campañas de ciberespionaje de alto perfil , particularmente contra Estados Unidos . Las operaciones del grupo se centran en objetivos de contrainteligencia en Estados Unidos y en el robo de datos de propiedad intelectual corporativa clave . El grupo ha infiltrado más de 200 objetivos en más de 80 países. [ 1 ] El exanalista de la NSA, Terry Dunlap, ha descrito al grupo como un "componente de la estrategia de 100 años de China". [ 2 ]
Organización y atribución
Se entiende ampliamente que Salt Typhoon es operado por el Ministerio de Seguridad del Estado de China (MSS), su servicio de inteligencia exterior y su policía secreta . [ 3 ] [ 4 ] La embajada china en Nueva Zelanda negó todas las acusaciones, calificándolas de "calumnias y difamaciones infundadas e irresponsables". [ 5 ]
Según Trend Micro , el grupo es un "grupo bien organizado con una clara división del trabajo" en el que distintos actores lanzan ataques dirigidos a diferentes regiones e industrias, lo que sugiere que el grupo está compuesto por varios equipos, "lo que resalta aún más la complejidad de las operaciones del grupo". [ 6 ] [ 7 ] Se informó que los ciberataques comenzaron al menos en 2023. [ 8 ]
Historia
2023 a 2024: Ataques informáticos en telecomunicaciones
En septiembre de 2024, surgieron los primeros informes de que un ciberataque grave había comprometido los sistemas de telecomunicaciones de EE. UU. Funcionarios estadounidenses declararon que la campaña probablemente llevaba en marcha entre uno y dos años antes de su descubrimiento, y que varias docenas de países se vieron afectados por el ataque, incluidos los de Europa y el Indo-Pacífico . [ 9 ] Según los informes, la campaña estaba "diseñada como un programa de espionaje chino centrado en funcionarios gubernamentales clave [y] propiedad intelectual corporativa clave". [ 3 ] [ 10 ]
A finales de 2024, funcionarios estadounidenses anunciaron que piratas informáticos afiliados a Salt Typhoon habían accedido a los sistemas informáticos de nueve empresas de telecomunicaciones estadounidenses , entre las que posteriormente se reconoció que se encontraban Verizon , AT&T , T-Mobile , Spectrum , Lumen , Consolidated Communications y Windstream . [ 11 ] [ 12 ] [ 13 ] El ataque se dirigió a las redes de banda ancha estadounidenses, en particular a los componentes centrales de la red, incluidos los enrutadores fabricados por Cisco , que enrutan gran parte de Internet. [ 3 ] [ 4 ] En octubre de 2024, funcionarios estadounidenses revelaron que el grupo había comprometido los sistemas de proveedores de servicios de Internet (ISP) utilizados para cumplir con las solicitudes de CALEA utilizadas por las agencias de inteligencia y de aplicación de la ley estadounidenses para realizar escuchas telefónicas autorizadas por un tribunal . [ 12 ]
Los piratas informáticos pudieron acceder a los metadatos de las llamadas y mensajes de texto de los usuarios , incluyendo marcas de fecha y hora, direcciones IP de origen y destino , y números de teléfono de más de un millón de usuarios; la mayoría de los cuales se encontraban en el área metropolitana de Washington D.C. En algunos casos, los piratas informáticos pudieron obtener grabaciones de audio de llamadas telefónicas realizadas por personas de alto perfil. [ 14 ] Según se informa, entre estas personas se encontraban miembros del personal de la campaña presidencial de Kamala Harris de 2024 , así como teléfonos pertenecientes a Donald Trump y JD Vance . [ 15 ] Según la asesora adjunta de seguridad nacional Anne Neuberger , un "gran número" de las personas cuyos datos fueron accedidos directamente eran "objetivos de interés del gobierno". [ 14 ]
En marzo de 2025, el Comité de Seguridad Nacional de la Cámara de Representantes de Estados Unidos solicitó al Departamento de Seguridad Nacional (DHS) que entregara documentos sobre la respuesta del gobierno federal al ciberataque. [ 16 ]
La segunda administración Trump despidió a todos los miembros de la Junta de Revisión de Seguridad Cibernética antes de que pudiera completar su investigación de la intrusión. [ 17 ] En abril de 2025, la Oficina Federal de Investigación (FBI) anunció una recompensa de 10 millones de dólares por información sobre personas asociadas con Salt Typhoon. [ 18 ]
En diciembre de 2024, Verizon y AT&T anunciaron que habían contenido el incidente y que el atacante ya no tenía acceso a sus redes. [ 19 ] El 12 de junio de 2025, la senadora Maria Cantwell , miembro de mayor rango del Comité de Comercio, Ciencia y Transporte del Senado , escribió cartas a los directores ejecutivos de AT&T y Verizon solicitando información detallada sobre las investigaciones de ciberseguridad realizadas en ambas compañías. La senadora Cantwell solicitó una lista de todas las vulnerabilidades identificadas que permitieron el acceso de los atacantes, así como planes de remediación y documentación que respaldara la afirmación de que Salt Typhoon ya no estaba presente en sus redes. [ 20 ]
Ocho meses después, en febrero de 2026, la senadora Cantwell envió una carta al presidente del comité, Ted Cruz, solicitándole que convocara una audiencia en la que se interrogaría a los directores ejecutivos de AT&T y Verizon sobre la seguridad actual de sus redes. La carta afirma que ambas compañías contrataron a Mandiant para realizar evaluaciones de seguridad, pero que Mandiant no proporcionó los informes generados por dichas evaluaciones tras ser solicitados. [ 21 ]
2024 a 2025: Guardia Nacional y comités del Congreso
El 11 de junio de 2025, el DHS publicó un informe titulado Salt Typhoon: Data Theft Likely Signals Expanded Targeting (Tifón de Sal: El robo de datos probablemente indica una ampliación de los objetivos ). En el informe, la agencia describe cómo el grupo de ciberdelincuentes comprometió la red de la Guardia Nacional del Ejército de un estado estadounidense no identificado . [ 22 ]
En agosto de 2025, el FBI declaró que Salt Typhoon había hackeado al menos 200 empresas en 80 países. [ 1 ]
En diciembre de 2025, se detectaron intrusiones en varios comités de la Cámara de Representantes de los Estados Unidos y posteriormente se atribuyeron a Salt Typhoon. [ 23 ]
Australia
En noviembre de 2025, el director general de la Organización Australiana de Inteligencia de Seguridad, Mike Burgess, declaró que piratas informáticos vinculados al gobierno y al ejército chinos habían intentado acceder a la infraestructura crítica de Australia, incluidas las redes de telecomunicaciones. Identificó a los grupos Salt Typhoon y Volt Typhoon , que también se infiltraron en sistemas estadounidenses con fines de espionaje y posible sabotaje, y advirtió que se habían producido sondeos similares en Australia. [ 24 ] [ 25 ]
Objetivos
Según The New York Times , Salt Typhoon es único por centrarse principalmente en objetivos de contrainteligencia . [ 26 ] Además de los proveedores de servicios de Internet de EE. UU., la empresa eslovaca de ciberseguridad ESET afirma que Salt Typhoon ha irrumpido anteriormente en hoteles y agencias gubernamentales de todo el mundo. [ 27 ] [ 28 ] Una empresa de telecomunicaciones canadiense no identificada sufrió una brecha de seguridad en febrero de 2025. [ 29 ] En junio de 2025, Viasat (una empresa de telecomunicaciones estadounidense) fue señalada como víctima de Salt Typhoon. [ 30 ]
Tácticas, técnicas y procedimientos
Según se informa, Salt Typhoon emplea un rootkit en modo kernel de Windows , Demodex (nombre dado por Kaspersky Lab ), [ 31 ] para obtener control remoto [ 32 ] sobre sus servidores objetivo . [ 33 ] Demuestran un alto nivel de sofisticación y utilizan técnicas antiforenses y anti-análisis para evadir la detección. [ 33 ]
Acceso inicial
Para obtener acceso inicial a sus objetivos, se ha observado que el grupo explota vulnerabilidades conocidas en cortafuegos, enrutadores y productos VPN: [ 34 ] [ 35 ]
Persistencia
Salt Typhoon emplea muchas técnicas para mantener el acceso a sus objetivos y evitar ser detectado. [ 34 ]
- Modificar las listas de control de acceso (ACL) para agregar direcciones IP.
- Se exponen servicios como SSH , RDP o FTP para facilitar el acceso remoto o la exfiltración de datos. Estos servicios se ejecutan en puertos estándar y no estándar para evitar ser detectados. También se ha observado que el grupo añade claves a servicios SSH existentes.
- Creación de túneles sobre protocolos como Generic Routing Encapsulation (GRE) o IPsec en dispositivos de red.
- Ejecutar comandos dentro de contenedores Linux en dispositivos de red Cisco a través de la consola de invitado. Esto permite al atacante instalar herramientas, procesar datos y moverse lateralmente por la red sin ser detectado, ya que las actividades dentro del contenedor generalmente no se supervisan.
- Utilizar herramientas de pivote de múltiples saltos de código abierto para retransmitir comandos desde servidores de comando y control .
Afiliaciones
Salt Typhoon recibe ayuda de varias empresas que trabajan estrechamente con los servicios de inteligencia chinos para proporcionar servicios cibernéticos, entre ellas: [ 34 ]
- Sichuan Juxinhe Network Technology Co. Ltd.
- Tecnología de la información Co., Ltd. de Beijing Huanyu Tianqiong
- Sichuan Zhixin Ruijie Network Technology Co., Ltd.
El 17 de enero de 2025, el Departamento del Tesoro de Estados Unidos anunció sanciones contra Sichuan Juxinhe Network Technology Co., LTD. El comunicado acusaba a Sichuan Juxinhe de tener una participación directa en Salt Typhoon y de que el grupo era responsable de vulnerar la seguridad de varias empresas estadounidenses de telecomunicaciones y proveedores de servicios de internet. [ 37 ]
Nombre
Salt Typhoon es el nombre asignado por Microsoft y es el más utilizado para describir al grupo. [ 27 ] El grupo también ha sido denominado de diversas maneras:
- Tierra Estrie por Trend Micro [ 6 ]
- Ghost Emperor de Kaspersky Lab [ 27 ]
- FamousSparrow de ESET [ 27 ]
- UNC2286 por Mandiant [ 38 ]
Véase también
Referencias
- 1 2 Collier, Kevin (27 de agosto de 2025). "China utilizó tres empresas privadas para hackear las telecomunicaciones globales, dice EE. UU . " . NBC News . Recuperado el 27 de agosto de 2025 .
- ↑ Lyons, Jessica (25 de septiembre de 2024). "Los ciberespías del tifón de sal de China están profundamente infiltrados en los proveedores de servicios de Internet de EE . UU." . The Register . Archivado del original el 8 de octubre de 2024 . Consultado el 8 de octubre de 2024 .
- 1 2 3 Krouse, Sarah; McMillan, Robert; Volz, Dustin (26 de septiembre de 2024). "Hackers vinculados a China atacan a proveedores de Internet de EE. UU. en un nuevo ciberataque 'Salt Typhoon'" . The Wall Street Journal .
{{cite news}}: CS1 maint: servicio de archivado obsoleto ( enlace ) - 1 2 Nakashima, Ellen (6 de octubre de 2024). "China hackeó a importantes empresas de telecomunicaciones estadounidenses en una aparente operación de contraespionaje" . The Washington Post . Archivado del original el 7 de octubre de 2024. Recuperado el 8 de octubre de 2024 .
- ↑ "La embajada china rechaza las acusaciones de EE. UU. sobre la operación de pirateo 'Salt Typhoon'" . RNZ . 8 de diciembre de 2024. Consultado el 30 de enero de 2025 .
- 1 2 Greig, Jonathan (25/11/2024). "Los hackers chinos de Salt Typhoon atacan a empresas de telecomunicaciones en el sudeste asiático con un nuevo malware" . Recorded Future . Archivado del original el 28/11/2024 . Recuperado el 31/12/2024 .
- ↑ "Juego del Emperador: Revelando intrusiones cibernéticas terrestres a largo plazo" . Trend Micro . 25 de noviembre de 2024. Consultado el 4 de febrero de 2025 .
- ↑ Bleiberg, Jake (4 de junio de 2025). "Chinos hackearon una compañía de telecomunicaciones estadounidense un año antes de las conocidas brechas de seguridad inalámbricas" . Bloomberg News . Consultado el 14 de junio de 2025 .
- ↑ Volz, Dustin (4 de diciembre de 2024). "Decenas de países afectados por una campaña china de pirateo de telecomunicaciones, según un alto funcionario estadounidense" . The Wall Street Journal . Archivado del original el 4 de diciembre de 2024. Consultado el 5 de diciembre de 2024 .
- ↑ Tucker, Eric (27 de diciembre de 2024). "Una novena empresa de telecomunicaciones ha sido víctima de una campaña masiva de espionaje chino, según la Casa Blanca" . Associated Press . Consultado el 27 de diciembre de 2024 .
- ↑ Ahmed, Deborah (2025-01-07). "Se amplían las brechas de seguridad en las telecomunicaciones estadounidenses, ya que 9 empresas son atacadas por hackers chinos del tifón de la sal" . Hackread . Consultado el 2025-01-08 .
- 1 2 Krouse, Sarah; Volz, Dustin; Viswanatha, Aruna; McMillan, Robert (2024-10-05). "Sistemas de escuchas telefónicas estadounidenses, objetivo de un ataque informático vinculado a China" . The Wall Street Journal .
{{cite news}}: CS1 maint: servicio de archivado obsoleto ( enlace ) - ↑ Krouse, Sarah; Volz, Dustin (15 de noviembre de 2024). "T-Mobile sufre un ataque informático masivo en redes de telecomunicaciones chinas" . The Wall Street Journal . Consultado el 15 de noviembre de 2024 .
- 1 2 Page, Carly (2025-01-06). "Conozca a los hackers chinos 'Tifón' que se preparan para la guerra" . TechCrunch . Recuperado el 2025-01-08 .
- ↑ Barrett, Devlin; Swan, Jonathan; Haberman, Maggie (25 de octubre de 2024). "Se dice que hackers chinos atacaron los teléfonos utilizados por Trump y Vance" . The New York Times . Archivado del original el 10 de noviembre de 2024. Consultado el 25 de octubre de 2024 .
- ↑ "Comité de la Cámara de Representantes de EE. UU. solicita información sobre el hackeo de telecomunicaciones en China" . Reuters . 17 de marzo de 2025. Consultado el 17 de marzo de 2025 .
- ↑ Sanger, David E.; Corasaniti, Nick (5 de abril de 2025). "Trump debilita las ciberdefensas de EE. UU. en un momento de creciente peligro" . The New York Times . ISSN 0362-4331 . Consultado el 27 de abril de 2025 .
- ↑ Goodin, Dan (25 de abril de 2025). "El FBI ofrece 10 millones de dólares por información sobre los miembros de Salt Typhoon" . Ars Technica . Consultado el 27 de abril de 2025 .
- ↑ Page, Carly (30 de diciembre de 2024). "AT&T y Verizon afirman que sus redes son seguras tras haber sido atacadas por los hackers Salt Typhoon, vinculados a China" . TechCrunch . Consultado el 22 de febrero de 2026 .
- ↑ "Cantwell exige a los directores ejecutivos de AT&T y Verizon que aclaren los ciberataques de Salt Typhoon y los riesgos continuos para la seguridad de la red" (Comunicado de prensa). Washington, DC: senate.gov. Subcomité de Comercio, Ciencia y Transporte del Senado de los Estados Unidos. 3 de febrero de 2026. Consultado el 22 de febrero de 2026 .
- ↑ Shepardson, David (3 de febrero de 2026). "Senador estadounidense afirma que AT&T y Verizon bloquean la publicación de los informes de evaluación de seguridad del tifón Salt" . Reuters . Consultado el 22 de febrero de 2026 .
- ↑ Collier, Kevin (15 de julio de 2025). "La Guardia Nacional fue víctima de un ataque informático por parte de la campaña china 'Tifón de Sal' durante casi un año, según un memorando del DHS" . NBC News . Consultado el 20 de julio de 2025 .
- ↑ Sevastopulo, Demetri (7 de enero de 2026). "China hackeó los sistemas de correo electrónico del personal de un comité del Congreso de EE . UU." Financial Times . Consultado el 7 de enero de 2026 .
{{cite news}}: CS1 maint: servicio de archivado obsoleto ( enlace ) - ↑ Belot, Henry (11 de noviembre de 2025). «Asio acusa a hackers chinos de intentar acceder a la infraestructura crítica de Australia» . The Guardian . ISSN 0261-3077 . Consultado el 12 de noviembre de 2025 .
- ↑ Needham, Kirsty (12 de noviembre de 2025). "El jefe de los servicios de inteligencia australianos afirma que piratas informáticos chinos están investigando las telecomunicaciones y la infraestructura crítica" . Reuters . Consultado el 12 de noviembre de 2025 .
- ↑ Barrett, Devlin (26 de octubre de 2024). «Qué saber sobre los hackers chinos que atacaron las campañas de 2024» . The New York Times . Archivado del original el 21 de diciembre de 2024. Consultado el 31 de diciembre de 2024 .
- 1 2 3 4 Kovacs, Eduard (2024-10-07). "Sal de China hackeó a AT&T y Verizon: Informe" . Security Week .
- ↑ "ESET Research descubre que el grupo APT FamousSparrow espía hoteles, gobiernos y empresas privadas" . ESET . Sala de prensa de ESET, WeLiveSecurity. Archivado del original el 28 de noviembre de 2024. Consultado el 6 de diciembre de 2024 .
- ↑ Goodin, Dan (23 de junio de 2025). "Telecomunicaciones canadienses hackeadas por un presunto grupo estatal chino" . Ars Technica . Consultado el 24 de junio de 2025 .
- ↑ Tarabay, Jamie (17 de junio de 2025). "Identificada Viasat como víctima en el masivo hackeo de teléfonos vinculado a China" . Bloomberg News . Consultado el 18 de junio de 2025 .
- ↑ "GhostEmperor: De ProxyLogon al modo kernel" . securelist.com . 30 de septiembre de 2021. Archivado del original el 1 de octubre de 2024. Consultado el 8 de octubre de 2024 .
- ↑ "GhostEmperor regresa con un rootkit Demodex actualizado" (PDF) . www.imda.gov.sg - Autoridad de Desarrollo de Medios de Información y Comunicación . Consultado el 8 de octubre de 2024 .
- 1 2 "Malpedia: GhostEmperor" . Sociedad Fraunhofer . Archivado del original el 8 de octubre de 2024. Recuperado el 8 de octubre de 2024 .
- 1 2 3 Cómo contrarrestar la infiltración de actores patrocinados por el Estado chino en redes mundiales para alimentar el sistema global de espionaje (Informe). Fort Meade, MD. 27 de agosto de 2025. Recuperado el 3 de septiembre de 2025 .
- ↑ Caveza, Scott (23 de enero de 2025). "Salt Typhoon: Un análisis de las vulnerabilidades explotadas por este actor patrocinado por el Estado" . www.tenable.com . Tenable.
- ↑ Jones, Nathaniel; Lister, Sam (20 de octubre de 2025). "Mucho salado: la visión de Darktrace sobre una reciente intrusión de Salt Typhoon" . Darktrace . Recuperado el 11 de noviembre de 2025 .
- ↑ «Compañía vinculada a las sanciones del Tesoro, relacionada con el tifón de sal, y hacker vinculado a la filtración de información del Tesoro» (Comunicado de prensa). Departamento del Tesoro de EE. UU. 17 de enero de 2025. Consultado el 5 de septiembre de 2025 .
- ↑ "AT&T y Verizon fueron presuntamente hackeadas para atacar la plataforma de escuchas telefónicas del gobierno estadounidense" . BleepingComputer . Archivado del original el 7 de octubre de 2024. Consultado el 8 de octubre de 2024 .
- Unidades de ciberespionaje del Ministerio de Seguridad del Estado (China)
- Guerra cibernética por parte de China
- Operaciones de información y guerra de información chinas
- Espionaje en los Estados Unidos
- La guerra cibernética en Estados Unidos
- Relaciones entre China y Estados Unidos
- Grupos chinos de amenazas persistentes avanzadas
- La década de 2020 en el mundo del hacking
- Relaciones entre Australia y China