Krajowe Centrum Cyberbezpieczeństwa (NCSC) wraz z 15 międzynarodowymi partnerami wydało wspólne ostrzeżenie. Instytucje alarmują, że powiązani z Chinami cyberprzestępcy ukrywają ataki za sieciami przejętych zwykłych urządzeń internetowych.
Ostrzeżenie opisuje dużą zmianę taktyki. Grupy związane z Pekinem przekierowują działania przez setki tysięcy zainfekowanych routerów domowych i smart urządzeń. Zastępuje to dotychczasowe, dedykowane infrastruktury atakujących.
Botnety budowane z przejętych urządzeń domowych
Dokument wskazuje wspólne wzorce operacji Volt Typhoon i Flax Typhoon. W każdym przypadku ruch przechodzi przez przejęte routery w małych firmach i domach, zanim dotrze do celu.
Te ukryte sieci pomagają operatorom powiązanym z Chinami skanować cele, dostarczać złośliwe oprogramowanie oraz wykradać dane. Jednocześnie ukrywają źródło każdego ataku.
Sieć Raptor Train, według NCSC, w 2024 roku zainfekowała ponad 200 000 urządzeń na świecie. FBI przypisało zarządzanie nią firmie Integrity Technology Group z siedzibą w Pekinie zajmującej się cyberbezpieczeństwem.
Wielka Brytania nałożyła na tę firmę sankcje w grudniu 2025 za nieodpowiedzialną aktywność cybernetyczną wobec sojuszników.
Wiele z przejętych urządzeń to kamery internetowe, rejestratory wideo, zapory sieciowe i magazyny sieciowe wycofane z produkcji. Nie otrzymują już poprawek bezpieczeństwa od producentów. Dlatego stanowią łatwy cel do masowych ataków.
Infrastruktura krajów zachodnich już przejęta
Volt Typhoon wykorzystuje także inną ukrytą sieć zwaną botnetem KV. Grupa zabezpieczyła dostęp do kluczowej krajowej infrastruktury w Stanach Zjednoczonych i państwach sojuszniczych.
Akta Departamentu Sprawiedliwości przywoływane w ostrzeżeniu potwierdzają to ustalenie. Jako aktywne cele wymieniono sieci energetyczne, systemy transportowe oraz sieci rządowe.
Paul Chichester, dyrektor operacyjny NCSC, zwrócił uwagę na inny problem: zanik wskaźników wskazujących na naruszenie (indicator of compromise). Identyfikatory pozwalające śledzić atakujących znikają niemal natychmiast po publikacji przez badaczy.
Problem odzwierciedla szersze trudności ze śledzeniem kampanii hakerskich wspieranych przez państwa, zarówno w infrastrukturze krytycznej, jak i sektorze finansowym.
W ostatnich latach widzimy celową zmianę w działaniach grup cybernetycznych z Chin, które wykorzystują te sieci, by ukryć swoje szkodliwe działania i uniknąć odpowiedzialności.
Ostrzeżenie zaleca organizacjom rozpoznanie normalnego ruchu sieciowego i korzystanie z dynamicznych źródeł zagrożeń. Wskazuje też, by traktować chińskie ukryte sieci jako wysoce zaawansowane zagrożenia trwałe.
W 2024 cyberprzestępcy ukradli aktywa cyfrowe o wartości ponad 2 mld USD. Najbliższe miesiące pokażą, czy obrońcy dogonią napastników. Przeciwnik sprawił, że przypisanie ataku stało się pierwszą ofiarą tej wojny.
