Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Attore statale

Volt Typhoon

  1. Stato:
  1. Stato:

Volt Typhoon un gruppo APT furtivo, sostenuto dallo Stato e legato alla Repubblica Popolare Cinese, che prende di mira organizzazioni che gestiscono infrastrutture critiche, principalmente negli Stati Uniti.

Individuare le TTP Volt Typhoon
La tua organizzazione è al sicuro dagli attacchi di Volt Typhoon?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di Volt Typhoon

Volt Typhoon un gruppo di minacce persistenti avanzate (APT) sponsorizzato dallo Stato e collegato alla Repubblica Popolare Cinese (RPC). Attivo almeno dalla metà del 2021, questo gruppo APT è noto per prendere di mira organizzazioni che gestiscono infrastrutture critiche in tutti gli Stati Uniti. Le sue operazioni sono caratterizzate da tattiche furtive e dirette, volte allo spionaggio e al mantenimento dell'accesso per l'esfiltrazione di dati a lungo termine. Volt Typhoon parte del più ampio programma di spionaggio informatico della Cina, concentrandosi sulla compromissione di obiettivi strategici e sull'elusione del rilevamento facendo ampio ricorso agli strumenti integrati di Windows e alle tecniche "living-off-the-land".

Paesi interessati da Volt Typhoon

Sebbene l'attenzione si sia concentrata principalmente sugli Stati Uniti, è probabile che le attività Volt Typhoonnon abbiano limiti geografici, visti gli obiettivi di intelligence globali della Cina. Le operazioni del gruppo mirano a monitorare e, potenzialmente, a sfruttare gli avversari geopolitici.

Settori di riferimento di Volt Typhoon

Volt Typhoon su settori di importanza strategica, tra cui le telecomunicazioni, l'industria manifatturiera, i fornitori di servizi pubblici e i settori delle infrastrutture critiche come l'energia e i trasporti. Questi obiettivi indicano l'intenzione di raccogliere informazioni e, potenzialmente, di compromettere le operazioni.

Le vittime Volt Typhoon

Sebbene le organizzazioni specifiche spesso non vengano rivelate, Volt Typhoon osservato che Volt Typhoon compromette infrastrutture critiche e sfrutta i sistemi compromessi per la raccolta di dati. Le loro tattiche indicano un'attenzione particolare verso le organizzazioni in grado di fornire informazioni preziose per ottenere vantaggi strategici a livello nazionale.

Metodo di attacco

Metodo di attacco Volt Typhoon

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Volt Typhoon le vulnerabilità dei dispositivi connessi a Internet, in particolare delle apparecchiature di rete utilizzate in piccoli uffici e uffici domestici (SOHO), per ottenere un accesso iniziale. Le tecniche utilizzate includono il "password spraying" e lo sfruttamento di protocolli di gestione remota poco sicuri.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Una volta ottenuto l'accesso, il gruppo amplia i propri privilegi per acquisire un controllo più esteso sulla rete compromessa. Ciò comporta spesso l'uso improprio di credenziali legittime.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Volt Typhoon di tecniche di "living-off-the-land", utilizzando esclusivamente strumenti integrati in Windows, quali PowerShell e Windows Management Instrumentation (WMI), per eludere il rilevamento. Evita di distribuire malware mantenere la propria invisibilità.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Raccolgono credenziali utilizzando strumenti come Mimikatz e cercano informazioni sensibili all'interno delle reti compromesse.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Il gruppo utilizza comandi per identificare le configurazioni di sistema, gli account utente e la topologia di rete, consentendo così il movimento laterale e un ulteriore sfruttamento.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Volt Typhoon servizi remoti e RDP per muoversi all'interno dei sistemi compromessi, garantendo al contempo la sicurezza operativa.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Vengono individuati e raccolti i dati rilevanti, quali le comunicazioni via e-mail, i file sensibili e le informazioni relative all'infrastruttura.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

La fase di esecuzione prevede l'esecuzione di script e comandi volti a garantire la persistenza e a raggiungere gli obiettivi operativi.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

Estraggono i dati raccolti utilizzando protocolli di rete standard per mimetizzarli nel traffico normale ed eludere il rilevamento.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Volt Typhoon si concentra Volt Typhoon sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo immediate. Tuttavia, le sue capacità potrebbero consentire future operazioni di sabotaggio.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Volt Typhoon le vulnerabilità dei dispositivi connessi a Internet, in particolare delle apparecchiature di rete utilizzate in piccoli uffici e uffici domestici (SOHO), per ottenere un accesso iniziale. Le tecniche utilizzate includono il "password spraying" e lo sfruttamento di protocolli di gestione remota poco sicuri.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Una volta ottenuto l'accesso, il gruppo amplia i propri privilegi per acquisire un controllo più esteso sulla rete compromessa. Ciò comporta spesso l'uso improprio di credenziali legittime.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Volt Typhoon di tecniche di "living-off-the-land", utilizzando esclusivamente strumenti integrati in Windows, quali PowerShell e Windows Management Instrumentation (WMI), per eludere il rilevamento. Evita di distribuire malware mantenere la propria invisibilità.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Raccolgono credenziali utilizzando strumenti come Mimikatz e cercano informazioni sensibili all'interno delle reti compromesse.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Il gruppo utilizza comandi per identificare le configurazioni di sistema, gli account utente e la topologia di rete, consentendo così il movimento laterale e un ulteriore sfruttamento.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Volt Typhoon servizi remoti e RDP per muoversi all'interno dei sistemi compromessi, garantendo al contempo la sicurezza operativa.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Vengono individuati e raccolti i dati rilevanti, quali le comunicazioni via e-mail, i file sensibili e le informazioni relative all'infrastruttura.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

La fase di esecuzione prevede l'esecuzione di script e comandi volti a garantire la persistenza e a raggiungere gli obiettivi operativi.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

Estraggono i dati raccolti utilizzando protocolli di rete standard per mimetizzarli nel traffico normale ed eludere il rilevamento.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Volt Typhoon si concentra Volt Typhoon sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo immediate. Tuttavia, le sue capacità potrebbero consentire future operazioni di sabotaggio.

MITRE ATT&CK

TTP utilizzati da Volt Typhoon

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare Volt Typhoon Vectra AI

Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco informatico.

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi di Volt Typhoon?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti