Source : McCrary Institute for Cyber and Critical Infrastructure Security (Auburn University) – Issue Brief « Code Red: A Guide to Understanding China’s Sophisticated Typhoon Cyber Campaigns ». Ce rapport synthétise les campagnes « Typhoon » attribuées à la RPC (taxonomie Microsoft) et décrit une évolution vers des capacités de disruption intégrées aux infrastructures critiques des États-Unis, appelant à une réponse conjointe mêlant cybersécurité, renseignement, diplomatie et réformes juridiques.

Le document replace ces campagnes dans l’évolution de la menace chinoise (PLA Unit 61398 en 2014, brèche OPM 2015) vers une stratégie de préparation opérationnelle du champ de bataille et de guerre grise, incluant l’usage de l’IA et l’exploitation d’appareils en périphérie. Objectif affiché : retarder des déploiements, dégrader la logistique et faire pression via des atteintes aux systèmes vitaux, avec en toile de fond des tensions (ex. échéance souvent citée de 2027 pour Taïwan).

Principaux acteurs et axes d’opération :

  • Volt Typhoon 🚨 : living-off-the-land, abus de identifiants valides, persistance et mouvement vers OT/ICS (énergie, eau, télécom), observation des comportements utilisateurs pour l’évasion, accès vidéosurveillance et contrôle CVC en data centers; analyses gouvernementales l’estiment orienté vers la disruption en cas de conflit (y compris Guam). FBI a retiré du malware sur des centaines d’appareils en 01/2024.
  • Flax Typhoon 🛰️ : focalisé IoT (militaire, télécom, éducation, gouvernement, IT), campagne d’espionnage; démantèlement d’un botnet (FBI, 09/2024) et sanctions (01/2025).
  • Salt Typhoon 📶 : intrusions chez des opérateurs télécoms US et alliés (dont Verizon, AT&T, Charter), accès à des métadonnées d’appels et SMS d’environ 1 million d’Américains, y compris des responsables de haut niveau, et compromission de systèmes d’interceptions légales.
  • Linen & Violet Typhoon 🛠️ : exploitation de zero-days (Microsoft SharePoint) en 2025; Linen orienté espionnage/IP, Violet ciblant des politiques, ONG, dissidents.
  • Silk Typhoon (Hafnium) 🔗 : compromissions supply chain via logiciels d’entreprise et outils de gestion à distance, insertion dans flux de mises à jour pour accès étendu et persistant.
  • Nylon Typhoon 🔐 : exploitation d’accès distants non corrigés et vol d’identifiants, persistance discrète chez gouvernements, think tanks et entités diplomatiques.

TTPs observés (extraits) :

  • Living-off-the-land et opérations hands-on-keyboard
  • Abus d’identifiants (valides ou forgés), observation des horaires usuels
  • Exploitation de zero-days (ex. SharePoint) et d’appareils périmétriques (pare-feux, routeurs)
  • Botnets IoT et persistance sur équipements peu surveillés
  • Supply chain via RMM/MSP, mises à jour logicielles compromises
  • Accès à systèmes d’interceptions légales, ciblage OT/ICS
  • Usage de sous-traitants pour brouiller l’attribution

IOCs : non divulgués dans l’extrait.

Risques sectoriels et cadre politico-juridique : le rapport détaille des risques majeurs pour l’énergie (ICS/SCADA, effets en cascade), l’eau (opérateurs sous-dotés, impacts sur santé publique et secteurs dépendants), les télécoms (métadonnées sensibles et systèmes d’interception), le transport (perturbations aérien/maritime/terrestre; rappel du cas Colonial Pipeline 2021) et la santé (dispositifs connectés et données critiques). Réponse actuelle (mise en accusation, sanctions, attributions publiques, avis conjoints) jugée insuffisante face à des cadres juridiques inadaptés (ex. CFAA), des normes internationales faibles et la sous-traitance qui retarde l’attribution. Le texte évoque le renforcement de la résilience (ex. zero trust, détection d’anomalies en temps réel), une coordination internationale accrue et l’actualisation des autorités légales. Il s’agit d’une analyse de menace visant à éclairer décideurs et opérateurs sur la cohérence stratégique des campagnes « Typhoon » et leurs implications.

🧠 TTPs et IOCs détectés

TTP

Living-off-the-land, hands-on-keyboard operations, abuse of valid or forged credentials, observation of usual schedules, exploitation of zero-days (e.g., SharePoint), exploitation of perimeter devices (firewalls, routers), IoT botnets and persistence on poorly monitored equipment, supply chain via RMM/MSP, compromised software updates, access to lawful interception systems, targeting OT/ICS, use of subcontractors to obfuscate attribution

IOC

Not disclosed in the excerpt

🔗 Source originale : https://mccraryinstitute.com/code-red-a-guide-to-understanding-chinas-sophisticated-typhoon-cyber-campaigns/