National Cyber Security Centre (NCSC) og 15 internasjonale partnere har sendt ut et felles varsel. De advarer om at trusselaktører fra Kina skjuler angrep bak nettverk av kompromitterte vanlige internett-enheter.
Varslet beskriver et stort taktisk skifte. Grupper tilknyttet Beijing leder nå aktivitet gjennom hundretusener av kompromitterte hjemmerutere og smarte enheter. Denne tilnærmingen erstatter egen infrastruktur for angripere.
Botnett bygget av kompromitterte hjemmeenheter
Dokumentet identifiserer et mønster i operasjonene til Volt Typhoon og Flax Typhoon. I hvert tilfelle sendes trafikken gjennom kompromitterte rutere fra små kontor og hjemmekontor før den når målet sitt.
Disse skjulte nettverkene hjelper Kina-tilknyttede aktører med å skanne mål, levere skadevare og hente ut data. De skjuler også opprinnelsen til hvert angrep.
Raptor Train, et slikt nettverk, infiserte mer enn 200 000 enheter globalt i 2024, ifølge NCSC. FBI mener ansvaret ligger hos Integrity Technology Group, et cybersikkerhetsfirma med base i Beijing.
Storbritannia sanksjonerte selskapet i desember 2025 for uforsvarlig cyberaktivitet mot sine allierte.
Mange av de kompromitterte maskinene er utdaterte webkameraer, videoopptakere, brannmurer og lagringsenheter på nettverket. Disse får ikke lenger sikkerhetsoppdateringer fra leverandørene. Det gjør dem til enkle mål for masseutnyttelse.
Vestlig infrastruktur allerede forberedt
Volt Typhoon har brukt et eget skjult nettverk kalt KV Botnet. Gruppen har fått fotfeste på kritisk nasjonal infrastruktur i USA og allierte land.
Justisdepartementets dokumenter vist til i varslet støtter dette funnet. Strømnett, transportsystemer og myndighetsnettverk nevnes som aktive mål.
Paul Chichester, operasjonsdirektør i NCSC, peker på et eget problem kalt utdøing av kompromissindikatorer. Identifikatorene som brukes til å spore angripere forsvinner nesten like raskt som forskere publiserer dem.
Problemet gjenspeiler bredere utfordringer med å spore statsstøttede hacker-kampanjer mot både kritisk infrastruktur og finanssektoren.
De siste årene har vi sett en bevisst endring hos cybergrupper basert i Kina som utnytter disse nettverkene for å skjule sin ondsinnede aktivitet i et forsøk på å unngå ansvar, sier Paul Chichester, operasjonsdirektør i NCSC.
Varslet oppfordrer organisasjoner til å etablere normal trafikk som referanse og bruke dynamiske trusseletninger. Det anbefales også å følge skjulte Kina-tilknyttede nettverk som egne avanserte vedvarende trusler.
I 2024 ble det registrert mer enn $ 2 milliarder i tap av digitale aktiva grunnet cyberaktivitet. De kommende månedene vil teste om forsvarerne klarer å holde følge. Motstanderen har gjort selve attribueringen til det første offeret.
