Volt Typhoon

APT / EstatalG1017
OrigenChina
Técnicas (MITRE ATT&CK)81
FuenteMITRE ATT&CK
También conocido como:BRONZE SILHOUETTEVanguard PandaDEV-0391UNC3236VoltziteInsidious TaurusDazedToad

Análisis Vexday

Volt Typhoon é um agente patrocinado pelo Estado da República Popular da China, ativo pelo menos desde 2021, com atuação voltada principalmente a organizações de infraestrutura crítica nos Estados Unidos e em seus territórios, incluindo Guam. O padrão de comportamento do grupo foi avaliado como pré-posicionamento para movimentação lateral em ativos de tecnologia operacional (OT), visando potenciais ataques destrutivos ou disruptivos. Nas suas operações, o grupo enfatiza a furtividade por meio de web shells, binários living-off-the-land (LOTL), atividades manuais no teclado e uso de credenciais roubadas. O grupo possui 81 técnicas documentadas no MITRE ATT&CK e é associado à exploração de 2 CVEs, sendo também referenciado pelos aliases BRONZE SILHOUETTE, Vanguard Panda, DEV-0391, UNC3236, Voltzite e Insidious Taurus.

Técnicas (MITRE ATT&CK) 81

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento
Gather Victim Identity InformationEmail AddressesGather Victim Network InformationNetwork TopologyNetwork Security AppliancesGather Victim Org InformationIdentify RolesGather Victim Host InformationSearch Open Websites/DomainsSearch Victim-Owned WebsitesScan Databases
Preparación de recursos
Virtual Private ServerServerBotnetNetwork DevicesExploitsToolVulnerabilities
Acceso inicial
Exploit Public-Facing Application
Ejecución
Windows Management InstrumentationPowerShellWindows Command ShellUnix Shell
Persistencia
External Remote ServicesWeb Shell
Escalada de privilegios
Exploitation for Privilege Escalation
Acceso a credenciales
LSASS MemoryNTDSUnsecured CredentialsPrivate KeysCredentials from Password StoresCredentials from Web Browsers
Descubrimiento
System Service DiscoveryApplication Window DiscoveryQuery RegistrySystem Network Configuration DiscoveryInternet Connection DiscoveryRemote System DiscoverySystem Owner/User DiscoveryNetwork Service DiscoverySystem Network Connections DiscoveryProcess DiscoveryPermission Groups DiscoveryLocal GroupsDomain GroupsFile and Directory DiscoveryLocal AccountDomain AccountPeripheral Device DiscoverySystem Time DiscoveryBrowser Information DiscoverySoftware DiscoverySystem Location DiscoveryLog EnumerationLocal Storage Discovery
Movimiento lateral
Remote Desktop ProtocolLateral Tool Transfer
Recolección
Data from Local SystemKeyloggingData StagedLocal Data StagingScreen CaptureArchive via Utility
Comando y control
ProxyInternal ProxyMulti-hop ProxyIngress Tool TransferSymmetric Cryptography
defense-impairment
Modify RegistryClear Windows Event Logs
stealth
Direct Volume AccessSoftware PackingMatch Legitimate Resource Name or LocationMasquerade File TypeFile DeletionClear Network Connection History and ConfigurationsValid AccountsDomain AccountsDeobfuscate/Decode Files or InformationSystem Binary Proxy ExecutionSystem Checks

Vulnerabilidades explotadas 2

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2016-6662EPSS 68%

El grupo Volt Typhoon usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →