TechCrunch rapporte une campagne mondiale attribuée au groupe chinois Salt Typhoon visant des opérateurs télécoms et fournisseurs d’accès, avec un accent sur les routeurs Cisco et les dispositifs d’interception légale, afin de collecter massivement des données de communications.
Le groupe aurait mené l’une des campagnes de piratage les plus étendues de ces dernières années, ciblant des géants des télécoms et d’Internet pour voler des dizaines de millions d’enregistrements d’appels, des SMS et de l’audio de responsables américains de haut niveau. À la suite de ces intrusions, le FBI a encouragé l’usage d’applications de messagerie chiffrées de bout en bout.
Selon les chercheurs, Salt Typhoon s’inscrit dans un ensemble d’acteurs liés à la Chine visant à soutenir une préparation à un éventuel conflit autour de Taïwan. Le groupe se distingue par le piratage de routeurs Cisco en périphérie des réseaux et la prise de contrôle de dispositifs d’interception légale imposés aux opérateurs, tandis que d’autres groupes liés à la Chine, comme Volt Typhoon et Flax Typhoon, poursuivent respectivement des objectifs de perturbation et d’usinage de botnets.
Aux États-Unis, des entreprises comme AT&T, Verizon, CenturyLink/Lumen, Charter (Spectrum), Windstream et Consolidated Communications sont citées parmi les victimes. T‑Mobile indique avoir été visée sans accès aux données clients. Viasat a également été compromis, donnant accès à des outils utilisés par les forces de l’ordre pour intercepter des communications. Le groupe aurait aussi compromis le réseau de la Garde nationale d’un État, permettant un accès à d’autres réseaux à travers les États-Unis.
Portée internationale (sélection) 🌐:
- Amériques: activités observées par Recorded Future sur des routeurs Cisco d’universités en Argentine et Mexique; le Canada confirme le piratage de ses principaux opérateurs et de routeurs chez un grand télécom; présence signalée au Brésil (Trend Micro).
- Asie, Afrique, Océanie: ciblage de Mytel (Myanmar) via des routeurs Cisco; un opérateur en Afrique du Sud; activités sur des routeurs d’universités au Bangladesh, en Indonésie, Malaisie, Thaïlande; alertes au Japon; activités en Australie et Nouvelle‑Zélande (télécoms, infrastructures critiques, secteurs gouvernemental, transport, hôtellerie, militaire). Trend Micro cite au moins 20 organisations touchées dans divers pays dont Afghanistan, Eswatini, Inde, Taïwan, Philippines.
- Europe: activité en Royaume‑Uni (possibles accès à des relevés d’appels et SMS de hauts fonctionnaires selon la presse); intrusions en Norvège; ciblage de petits FAI et hébergeurs aux Pays‑Bas (accès routeurs, pas de compromission interne); un FAI en Italie; incidents liés observés en Finlande et Pologne (autorités tchèques).
TTPs principaux 📡:
- Compromission de routeurs Cisco en périphérie des réseaux.
- Prise de contrôle de dispositifs d’interception légale chez les opérateurs.
- Exfiltration de métadonnées et contenus de communications (CDR, SMS, audio).
- Intrusions dans des opérateurs télécoms, FAI et universités pour pivoter et collecter des données.
- Accès à des outils d’interception chez un fournisseur satellite.
IOCs: non mentionnés dans l’article.
Il s’agit d’un article de presse spécialisé synthétisant l’étendue géographique, les cibles et les techniques d’une campagne d’espionnage attribuée à Salt Typhoon, avec un inventaire des pays et secteurs affectés.
🔗 Source originale : https://techcrunch.com/2026/03/09/salt-typhoon-china-who-has-been-hacked-global-telecom-giants/