Salt Typhoon un gruppo cinese di minacce persistenti avanzate (APT) finanziato dallo Stato e gestito dal Ministero della Sicurezza di Stato cinese (MSS). Attivo almeno dal 2019, il gruppo ha condotto alcune delle campagne di spionaggio informatico più gravi della storia recente, compromettendo operatori di telecomunicazioni statunitensi, agenzie governative e infrastrutture critiche in oltre 80 paesi. L'FBI l'ha definita una delle violazioni di spionaggio più significative nella storia degli Stati Uniti (FBI, agosto 2025).
Questo briefing sulle minacce illustra chi Salt Typhoon , come opera durante l'intero ciclo di vita dell'attacco, quali strumenti e malware e cosa devono sapere i responsabili della sicurezza per individuare e contenere le sue attività. Il documento descrive le tattiche, le tecniche e le procedure (TTP) del gruppo, mappate sul modello MITRE ATT&CK, analizza in dettaglio i comandi specifici di tipo "living-off-the-land" da esso utilizzati e fornisce indicazioni sulle strategie di rilevamento comportamentale. Gli analisti SOC, i threat hunter, gli architetti della sicurezza e i CISO troveranno informazioni utili per rafforzare le difese contro Salt Typhoon gruppi APT simili legati a Stati nazionali.
Cos'è Salt Typhoon?
Salt Typhoon un gruppo di minacce persistenti avanzate (APT) legato al Ministero della Sicurezza di Stato cinese, specializzato in campagne di spionaggio informatico a lungo termine contro operatori di telecomunicazioni, agenzie governative e infrastrutture critiche in tutto il mondo. Il gruppo è noto anche con i nomi di Earth Estries (Trend Micro), GhostEmperor (Kaspersky), FamousSparrow (ESET) e UNC2286 (Mandiant).
A differenza della maggior parte degli attori di spionaggio che si infiltrano in una rete, estraggono dati e poi se ne vanno, Salt Typhoon persistenza. È stato osservato che il gruppo mantiene l'accesso all'interno degli ambienti compromessi per periodi che vanno da mesi ad anni prima di essere scoperto. In almeno un caso confermato, Salt Typhoon l'accesso a una rete di telecomunicazioni per tre anni (Cisco, 2025). Questo approccio duale, che combina la raccolta di informazioni con la capacità di interrompere i servizi durante una crisi futura, è in linea con gli obiettivi strategici più ampi della Repubblica Popolare Cinese, compresa la preparazione a un potenziale confronto su Taiwan.
Le modalità di attacco Salt Typhoonsi sono evolute in modo significativo dal 2020. Le prime campagne erano rivolte ad agenzie governative, hotel e aziende tecnologiche nel Sud-Est asiatico e in Africa. Entro il 2024, il gruppo si era espanso in modo aggressivo nelle infrastrutture di telecomunicazione statunitensi, compromettendo almeno nove grandi operatori, tra cui AT&T, Verizon, T-Mobile, Lumen e Charter Communications (Wall Street Journal, 2024). A livello internazionale, le vittime comprendono società di telecomunicazioni, società di consulenza, appaltatori della difesa, aziende chimiche, fornitori di servizi di trasporto e organizzazioni senza scopo di lucro in oltre 20 paesi (Trend Micro, 2024).
La tabella sottostante illustra le convenzioni di denominazione Salt Typhoonutilizzate dai principali fornitori di soluzioni di sicurezza. Si tratta di uno strumento utile per i cacciatori di minacce che devono incrociare i dati dei rapporti di intelligence, poiché la stessa campagna può comparire con nomi diversi a seconda della fonte.
| Fornitore |
Alias |
Obiettivo principale |
| Microsoft |
Salt Typhoon |
Telecomunicazioni, spionaggio governativo |
| Trend Micro |
Earth Estries |
Campagne APT multisettoriali |
| Kaspersky |
GhostEmperor |
Intrusioni basate su rootkit |
| ESET |
FamousSparrow |
Hotel, destinatari delle misure governative |
| Mandiant / Google |
UNC2286 |
Monitoraggio dei cluster non classificati |
| CrowdStrike |
OPERATORE PANDA |
Operazioni legate alla Cina |
| Recorded Future |
RedMike |
Indirizzamento delle infrastrutture di telecomunicazione |
Salt Typhoon principali Salt Typhoon " e l'ampliamento del loro raggio d'azione
Il raggio d'azione Salt Typhoonsi è ampliato notevolmente tra il 2023 e il 2026, passando da campagne di spionaggio a livello regionale a una delle operazioni APT con la più ampia distribuzione geografica mai rese pubbliche. Nell'agosto 2025 l'FBI ha confermato che il gruppo aveva compromesso più di 200 organizzazioni in 80 paesi (FBI, 2025). La cronologia riportata di seguito riassume le tappe fondamentali.
| Data |
Evento |
| 2019–2023 |
Salt Typhoon campagne di spionaggio rivolte contro agenzie governative, hotel e aziende tecnologiche in tutto il Sud-Est asiatico e in Africa. |
| Settembre 2024 |
Il Wall Street Journal riferisce che Salt Typhoon gli ISP e i fornitori di banda larga statunitensi, prendendo di mira i router Cisco ai margini delle reti. |
| Ottobre 2024 |
Funzionari statunitensi rivelano che Salt Typhoon i sistemi di intercettazione telefonica CALEA, accedendo ai metadati delle chiamate di oltre un milione di utenti. Nove dei principali operatori hanno confermato di essere stati compromessi. |
| Dicembre 2024 |
La CISA, la NSA, l'FBI e i partner della coalizione Five Eyes pubblicano delle linee guida per una maggiore visibilità e il rafforzamento della sicurezza delle infrastrutture di comunicazione. |
| Gennaio 2025 |
Il Tesoro degli Stati Uniti impone sanzioni alla Sichuan Juxinhe Network Technology Co. L'FBI offre una taglia di 10 milioni di dollari. |
| Giugno 2025 |
Viasat è stata indicata come vittima. Salt Typhoon nel settore delle telecomunicazioni sudamericano con nuovi impianti (TernDoor, PeerTime, BruteEntry). |
| Agosto 2025 |
L'FBI conferma che sono state colpite oltre 200 organizzazioni in più di 80 paesi. È stato diffuso un avviso congiunto. È stata resa nota una violazione ai danni della Guardia Nazionale dell'esercito di uno Stato americano. |
| Novembre 2025 |
L'ASIO australiana conferma che Salt Typhoon sulle telecomunicazioni e sulle infrastrutture critiche australiane. |
| Dicembre 2025 |
Sono state rilevate intrusioni nei sistemi di posta elettronica delle commissioni della Camera dei Rappresentanti degli Stati Uniti. |
| Febbraio 2026 |
La Norvegia conferma l'accordo. L'FBI dichiara che le minacce «sono ancora molto concrete». Singapore conferma che tutte e quattro le società di telecomunicazioni nazionali sono state vittime di attacchi informatici. La senatrice Cantwell chiede che i CEO di AT&T e Verizon testimonino. |
La Norvegia conferma l'accordo. L'FBI afferma che le minacce «sono ancora molto concrete». Singapore conferma che tutte e quattro le società di telecomunicazioni nazionali sono state oggetto di attacchi informatici. La senatrice Cantwell chiede che i CEO di AT&T e Verizon rendano testimonianza.
Il raggio d'azione va ben oltre il settore delle telecomunicazioni. Salt Typhoon preso di mira aziende tecnologiche, società di consulenza, produttori chimici, appaltatori della difesa, operatori dei trasporti e organizzazioni senza scopo di lucro (Trend Micro, 2024). La struttura operativa del gruppo fa supporre l'esistenza di diversi team distinti, responsabili di diverse regioni e settori verticali.
In che modo Salt Typhoon ?
Salt Typhoon una sequenza di attacco strutturata e articolata in più fasi che combina lo sfruttamento di vulnerabilità note per ottenere l'accesso iniziale, l'implementazione di malware personalizzato malware la persistenza e un ampio ricorso a tecniche "living-off-the-land" per muoversi lateralmente eludendo il rilevamento. Il tratto distintivo del gruppo è la pazienza: le campagne si protraggono per mesi, con gli autori degli attacchi che implementano strumenti aggiuntivi in modo graduale man mano che le esigenze operative evolvono.
Accesso iniziale: sfruttamento dei server accessibili al pubblico
Salt Typhoon riesce ad accedere ai sistemi Salt Typhoon sfruttando vulnerabilità note presenti in server esposti al pubblico, dispositivi di rete e prodotti VPN. Tra le vulnerabilità sfruttate figurano:
- CVE-2023-46805 e CVE-2024-21887: bypass dell'autenticazione e iniezione di comandi in Ivanti Connect Secure
- CVE-2022-3236: Iniezione di codice in Sophos Firewall
- CVE-2021-26855 (ProxyLogon): SSRF in Microsoft Exchange
- CVE-2025-5777: Citrix NetScaler Gateway
- Numerose vulnerabilità di Cisco IOS XE che colpiscono i router periferici
Esecuzione e persistenza: malware personalizzato malware gli strumenti nativi di Windows
Una volta che Salt Typhoon l'esecuzione remota di codice, il gruppo distribuisce script PowerShell crittografati che installano backdoor quali il rootkit Demodex, SnappyBee, GhostSpider, HemiGate, Crowdoor, MASOL RAT e Cobalt Strike . Anche in questa fase iniziale, gli strumenti integrati di Windows riducono al minimo le tracce forensi:
Bypass dell'esecuzione di PowerShell:
powershell -ex bypass -c "<decryption_key>"
Persistenza del Registro di sistema:
reg add "HKCU\...\CurrentVersion\Run" /v "<n>" /t REG_SZ /d "<path>" /f
Ricognizione: mappare il dominio con gli strumenti integrati
Salt Typhoon l'ambiente Active Directory utilizzando le utilità native:
cmd /c "net group 'amministratori di dominio' /dominio"
wmic process get name,processid,commandline
Evasione delle misure di sicurezza: mimetizzarsi nelle normali operazioni
L'elusione dei sistemi di difesa è un processo continuo, non una fase distinta. Le tecniche utilizzate includono l'esecuzione "living-off-the-land", il sideloading di DLL tramite software antivirus legittimi (Norton, Bkav, IObit), attacchi di downgrade tramite PowerShell, la crittografia degli script, la cancellazione dei log e i rootkit in modalità kernel (Demodex).
Accesso tramite credenziali ed escalation dei privilegi
La raccolta delle credenziali avviene tramite Mimikatz, SnappyBee, keylogger e attacchi Kerberos. L'escalation dei privilegi si basa su Cobalt Strike, rootkit e lo sfruttamento delle vulnerabilità all'interno dell'ambiente compromesso.
Movimento laterale: diffusione attraverso la rete con strumenti nativi
Salt Typhoon gli strumenti di amministrazione di Windows per copiare ed eseguire payload attraverso la rete:
copy \\<target_ip>\C$\Windows\Temp\payload.bat
wmic /node:<target_ip> process call create "cmd /c ...\payload.bat"
Il comando più significativo combina persistenza, spostamento laterale, escalation dei privilegi ed elusione dei sistemi di difesa in un'unica operazione:
sc \\<target_ip> create VGAuthtools type= own start= auto
binpath= "C:\...\installutil.exe C:\...\malware.exe"
Comando e controllo ed esfiltrazione dei dati
La comunicazione C2 persistente utilizza Cobalt Strike , Demodex e approcci a doppio canale che combinano infrastrutture dedicate con servizi legittimi (AnonFiles, File.io, GitHub, Gmail, LightNode VPS).
Attività di spionaggio in corso e potenziali perturbazioni
Salt Typhoon un accesso costante per la raccolta continua di informazioni e si prepara a eventuali interruzioni del servizio in caso di crisi geopolitica. Nell'ambito dell'operazione nel settore delle telecomunicazioni, ciò ha comportato l'accesso ai sistemi di intercettazione telefonica previsti dal CALEA e la sorveglianza delle comunicazioni di alti funzionari governativi.
Salt Typhoon mappati su MITRE ATT&CK
La tabella sottostante mette in relazione le tecniche confermate Salt Typhooncon MITRE ATT&CK , consentendo ai cacciatori di minacce di creare regole di rilevamento e verificare la copertura della kill chain. Le voci riportate riflettono le TTP contenute nell'avviso congiunto del settembre 2025 (CISA AA25-239A) e in diversi rapporti dei fornitori.
| Tattica ATT&CK |
Tecniche osservate |
Salt Typhoon e metodi di Salt Typhoon |
| Accesso iniziale |
Sfruttare le vulnerabilità delle applicazioni accessibili al pubblico (T1190) |
Ivanti, Sophos, Exchange, Cisco, Citrix CVE |
| Esecuzione |
Interprete di comandi e script (T1059) |
PowerShell -ex bypass, cmd /c, WMIC |
| Perseveranza |
Esecuzione di chiavi del Registro di sistema (T1547.001), Creazione di servizi (T1543.003), Web shell (T1505.003) |
reg add, creazione di script di sicurezza tramite abuso di installutil, web shell |
| Elevazione dei privilegi |
Sfruttamento (T1068), Esaltazione dell'abuso (T1548) |
Cobalt Strike, rootkit Demodex, abuso di installutil |
| Evasione della difesa |
Caricamento laterale di DLL (T1574.002), Rimozione di indicatori (T1070), Offuscamento (T1027) |
Installazione parallela di app, cancellazione dei log, downgrade del PS, crittografia |
| Accesso tramite credenziali |
Estrazione delle credenziali del sistema operativo (T1003), intercettazione degli input (T1056) |
Mimikatz, SnappyBee, keylogger, attacchi Kerberos |
| Scoperta |
Rilevamento degli account (T1087), Rilevamento dei processi (T1057) |
net group /domain, wmic process, scanner di porte |
| Movimento laterale |
Servizi a distanza (T1021), Trasferimento laterale degli utensili (T1570) |
Copia SMB, esecuzione remota WMIC, creazione di servizi, RDP |
| Collezione |
Dati provenienti dal sistema locale (T1005), raccolta tramite e-mail (T1114) |
Preparazione dei dati, raccolta di indirizzi e-mail, intercettazioni ai sensi del CALEA |
| C2 |
Protocollo a livello di applicazione (T1071), Canale crittografato (T1573) |
Cobalt Strike, Demodex, LightNode VPS, HTTP/TCP |
| Esfiltrazione |
Esfiltrazione tramite servizio web (T1567) |
AnonFiles, File.io, GitHub, Gmail |
In che modo Salt Typhoon si Salt Typhoon da Volt Typhoon?
Salt Typhoon Volt Typhoon entrambi gruppi APT legati alla Repubblica Popolare Cinese, ma perseguono obiettivi strategici diversi. Comprendere queste differenze aiuta i responsabili della sicurezza a stabilire le priorità nelle strategie di rilevamento.
| Dimensione |
Salt Typhoon |
Volt Typhoon |
| Missione principale |
Spionaggio informatico e raccolta di informazioni |
Prepararsi a un cambiamento radicale |
| Obiettivi principali |
Telecomunicazioni, pubblica amministrazione, difesa |
Energia, risorse idriche, trasporti, logistica militare |
| Accesso iniziale |
zero-day su server, router e VPN |
Compromissione di un router SOHO, sfruttamento di un dispositivo periferico |
| Tecnica fondamentale |
LotL + malware personalizzato |
Vivendo quasi esclusivamente dei frutti della terra (senza malware) |
| Tempo di permanenza |
Da mesi ad anni (persistenza confermata per 3 anni) |
Anni (presenza confermata di almeno 5 anni) |
| Ambito di applicazione |
Oltre 200 organizzazioni, oltre 80 paesi |
Principalmente infrastrutture critiche statunitensi |
Per quanto riguarda gli hacker, entrambi i gruppi sfruttano lo stesso punto cieco del sistema di rilevamento: strumenti di sistema legittimi che eseguono comandi apparentemente normali. Per bloccarli è necessario un sistema di rilevamento comportamentale in grado di correlare le attività a cloud identità, rete e cloud .
Rilevare attività Salt Typhoon tramite l'intelligenza artificiale comportamentale
Le tecniche Salt Typhoon, basate sull'utilizzo delle risorse disponibili in loco, lo rendono praticamente invisibile ai sistemi di rilevamento basati su firme e al monitoraggio endpoint. Per individuarlo è necessario correlare i segnali comportamentali su tutta la superficie di attacco: traffico di rete, comportamento degli utenti e cloud .
Vectra AI rileva attività Salt Typhoon analizzando il modo in cui le azioni si svolgono nei vari ambienti, concentrandosi sui modelli comportamentali degli aggressori piuttosto che sugli indicatori noti. Durante un attacco di tipo Typhoon, la piattaforma segnala i seguenti rilevamenti:
- Modelli insoliti di esecuzione remota compatibili con movimenti laterali basati su WMIC e PowerShell
- Attività Kerberos sospette che indicano un furto di credenziali o attacchi "golden ticket"
- Anomalie relative ai privilegi in cui gli account superano improvvisamente i livelli di accesso prestabiliti
- Tentativi di attacchi brute-force alle PMI e condivisione anomala di file tra segmenti interni
- Tunnel nascosti e canali crittografati tipici delle comunicazioni C2
- Attività anomala in PowerShell e Azure AD che indicano un abuso a livello di identità
Questi segnali vengono correlati da agenti basati sull'intelligenza artificiale che classificano, assegnano priorità e visualizzano automaticamente l'intero quadro dell'attacco tramite grafici dinamici, consentendo così ai difensori di intervenire prima che l'attacco progredisca.
Come difendersi da Salt Typhoon
Per difendersi da Salt Typhoon un approccio su più livelli che affronti l'accesso iniziale basato su exploit, l'esecuzione "living-off-the-land", l'abuso di identità e la persistenza a lungo termine. Queste raccomandazioni si basano sull'avviso congiunto di CISA/NSA/FBI (AA25-239A) e sui comportamenti osservati durante la campagna.
Applicate le patch con tempestività e date priorità ai dispositivi periferici. L'accesso inizialeSalt Typhoonsfrutta sistematicamente le vulnerabilità CVE note presenti in dispositivi VPN, firewall e router. Nel febbraio 2026 l'FBI ha sottolineato che i punti di accesso sono stati resi possibili da errori di configurazione di base.
Implementa soluzioni di rilevamento e risposta alle minacce di rete in tutto l'ambiente ibrido. Gli agenti EDR non possono essere eseguiti su router e switch Salt Typhoon da Salt Typhoon . L'NDR offre visibilità sui movimenti laterali, sulle anomalie relative alle identità e sui canali C2 crittografati.
Monitorare costantemente il comportamento degli utenti. Prestare attenzione a enumerazioni anomale degli amministratori di dominio, escalation di privilegi inattese, attività Kerberos insolite e uso improprio degli account di servizio.
Implementare la segmentazione della rete e l'approccio zero trust. Limitare i percorsi di movimento laterale segmentando le infrastrutture critiche e applicando il principio del privilegio minimo.
Effettua un monitoraggio proattivo utilizzando la MITRE ATT&CK riportata sopra. Verifica la presenza di esecuzioni anomale di PowerShell, la creazione di servizi remoti, l'esecuzione remota tramite WMIC, il sideloading di DLL e modifiche sospette al Registro di sistema.
Crittografare tutte le comunicazioni da un capo all'altro. L'FBI ha raccomandato l'uso di sistemi di messaggistica con crittografia end-to-end in risposta alle violazioni subite dal settore delle telecomunicazioni.
