Un grupo de agencias internacionales de ciberseguridad emitió una advertencia conjunta contra el grupo de amenazas persistentes avanzadas (APT) conocido como Salt Typhoon (también denominado OPERATOR PANDA, RedMike, UNC5807 o GhostEmperor). En este comunicado, firmado por las agencias de 13 países, se ofrece orientación para la búsqueda de amenazas (threat hunting) y estrategias de mitigación basadas en las tácticas, técnicas y procedimientos (TTPs) empleados por este grupo.

Salt Typhoon está respaldado por el gobierno chino y ha llevado a cabo campañas de ciberespionaje dirigidas a sectores sensibles en todo el mundo. Sus objetivos incluyen redes de telecomunicaciones, entidades gubernamentales, infraestructuras de transporte, alojamientos y entornos militares, con el propósito de monitorear comunicaciones y rastrear movimientos de personas de interés.

Desde al menos 2021, este grupo ha explotado vulnerabilidades conocidas (no zero-day) en routers y dispositivos de borde, como los de Cisco, Ivanti y Palo Alto Networks. Su modus operandi consiste en comprometer equipos de red para lograr acceso persistente, moverse lateralmente dentro de los sistemas, manipular el tráfico y ocultar sus huellas digitales.

El alcance global de Salt Typhoon es vasto: se le atribuyen actividades de intrusión en más de 80 países, afectando a cientos de organizaciones, incluyendo importantes proveedores de telecomunicaciones y una unidad de la Guardia Nacional de EE. UU.

Info – Ciberseguridad Latam