Los piratas informáticos patrocinados por el estado chinos conocidos como Typhoon de Salt se infiltraron con éxito y mantuvieron el acceso persistente a la red de la Guardia Nacional del Ejército de un estado de EE. UU. Durante casi diez meses, desde marzo de 2024 hasta diciembre de 2024, según un memorando del Departamento de Seguridad Nacional obtenida por NBC News.
La sofisticada campaña cibernética representa una escalada significativa en las operaciones cibernéticas en curso de Beijing contra la infraestructura militar estadounidense, lo que puede comprometer la información de defensa confidencial y los protocolos de seguridad operativa.
La violación, detallada en una investigación del Pentágono documentada en un memorando del DHS de junio, demuestra la notoria capacidad de Salt Typhoon para establecer una persistencia a largo plazo dentro de las redes de infraestructura crítica.
Los piratas informáticos exfilaron con éxito mapas de ubicación geográfica, diagramas de topología de red interna e información personal de los miembros del servicio, creando un perfil de inteligencia integral que podría facilitar los ataques futuros contra otras unidades de la Guardia Nacional y los socios de ciberseguridad a nivel estatal.
La emergencia de Salt Typhoon como un grupo de amenaza persistente avanzada (APT) de primer nivel ha estado marcado por su focalización sistemática de la infraestructura de telecomunicaciones y las redes gubernamentales.
Analistas de noticias de NBC anotado que el grupo había comprometido previamente al menos a ocho principales compañías de Internet y teléfonos de Internet estadounidense, incluidas AT&T y Verizon, utilizando estos puntos de acceso para monitorear las comunicaciones de las campañas presidenciales de Harris y Trump y la oficina del líder de la mayoría del Senado Chuck Schumer.
El vector de ataque probablemente explotó la naturaleza dual de las unidades de la Guardia Nacional, que operan bajo las estructuras de la Autoridad Federal del Departamento de Defensa y de Gobierno del Estado.
Esta complejidad organizacional crea superficies de ataque expandidas, ya que estas unidades mantienen una profunda integración con los gobiernos locales y las agencias de aplicación de la ley.
El informe del DHS destacó específicamente que las unidades de la Guardia Nacional en 14 estados colaboran con los “centros de fusión” de la ley para compartir inteligencia, multiplicando potencialmente el impacto de la violación en múltiples jurisdicciones.
Mecanismos de persistencia y movimiento lateral
Las tácticas de persistencia de Salt Typhoon demuestran una comprensión sofisticada de la arquitectura de red y los protocolos de seguridad.
La capacidad del grupo para mantener el acceso no detectado durante períodos prolongados, con casos de informes de Cisco de hasta tres años en algunos entornos, suministra el despliegue de tecnologías avanzadas de raíz y técnicas de vida en el país que combinan actividades maliciosas con procesos de sistema legítimos, lo que hace una detección excepcionalmente desafiante para los sistemas de monitoreo de seguridad tradicional.
