Grupo Salt Typhoon

Publicado hace 9 meses 28-08-2025

El grupo de hackers conocido como Salt Typhoon comenzó su actividad desde el año 2019 y con el paso del tiempo ha ampliado sus operaciones hasta convertirse en una de las campañas de ciberespionaje más amplias atribuidas al estado de China. Sus ataques se dirigen principalmente a proveedores de telecomunicaciones, servicios de internet, agencias gubernamentales, infraestructuras críticas, universidades, data centers y también contra empresas con actividades en sectores de transporte, hospedaje, consultoría y tecnología. 

 

Uno de los principales enfoques del grupo ha sido comprometer dispositivos de red y sistemas de comunicación para obtener acceso a información sensible, mapas de red, tráfico de llamadas y credenciales de usuarios. El país más atacado ha sido Estados Unidos, donde incluso lograron permanecer infiltrados durante meses en la red de la Guardia Nacional sin ser detectados, pero también se han registrado víctimas en países de todo el mundo entre ellos Canadá, Reino Unido, Italia, Sudáfrica, México, Indonesia, Tailandia, Myanmar, Bangladesh y Malasia, lo que refleja el enfoque global de su operación. Además, es importante mencionar que el grupo ha atacado a organismos militares, centros de datos, universidades e industrias clave como transporte y tecnología, lo que demuestra un interés en sectores donde circula información sensible. 

 

Para lograr sus intrusiones y ataques aprovecha vulnerabilidades críticas en dispositivos de red conocidos. Entre las más explotadas se encuentran fallos en sistemas Cisco IOS XE CVE-2023-20198 y CVE-2023-20273, así como en Cisco Smart Install CVE-2018-0171, vulnerabilidades en Ivanti CVE-2023-46805 y2024-21887, en Palo Alto GlobalProtect CVE-2024-3400, entre otras. Su técnica se basa en comprometer routers y switches expuestos a internet para así lograr establecer túneles de comunicación y así lograr manipular las listas de control de acceso y desplegar malwares como JumbledPath, GhostSpider, Demodex o SparrowDoor, diseñados para robar datos y garantizar persistencia en los sistemas comprometidos. 

 

Salt Typhoon es un actor de ciberespionaje muy sofisticado y en constante evolución que lleva 6 años dirigiendo ataques a sectores estratégicos de múltiples países. Lo que demuestra su alta peligrosidad y el impacto que puede ocasionar en los sistemas de sus víctimas. 

 

Taxonomía MITRE ATT&CK 

Tactic 

ID 

Name 

Reconnaissance 

T1590.004 

Gather Victim Network Information: Network Topology 

Resource Development 

T1587.001 

Develop Capabilities: Malware 

Initial Access 

T1190 

Exploit Public-Facing Application 

Persistence 

T1136 

Create Account 

T1098.004 

Account Manipulation: SSH Authorized Keys 

Defense Evasion 

T1562.004 

Impair Defenses: Disable or Modify System Firewall 

T1070.002 

Indicator Removal: Clear Linux or Mac System Logs 

Credential Access 

T1110.002 

Brute Force: Password Cracking 

T1040 

Network Sniffing 

Lateral Movement 

T1021.004 

Remote Services: SSH 

Collection 

T1602.002 

Configuration Repository: Network Device Configuration Dump 

Command and Control 

T1572 

Protocol Tunneling 

Exfiltration 

T1048.003 

Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol 

 

Indicadores de compromiso  

IOC 

Tipo 

393ff5839c4ce9e06079c3e7adf1cc27 

FileHash-MD5 

40795ca0880ea7418a45c66925c200edcddf939e 

FileHash-SHA1 

3e8b370b8f499f5de89bf20bce2f0890c4731b4972943cfb82691ed370d9f62a 

FileHash-SHA256 

185.82.200.181 

IP 

185.141.24.28 

IP 

165.154.227.192 

IP 

006f22e5e419d349e6459d0d5610105f 

FileHash-MD5 

012862165ec105a44fea14face53492f 

FileHash-MD5 

172.93.165.14 

IP 

89.117.2.39 

IP 

 

Vulnerabilidades explotadas  

Producto  

CVE 

Link de boletín  

  

Cisco IOS XE 

CVE-2023-20198  

Alestra CSIRT 

  

CVE-2023-20273 

Alestra CSIRT 

  

Cisco Smart Install  

CVE-2018-0171 

Alestra CSIRT 

  

Palo Alto GlobalProtect  

CVE-2024-3400 

Alestra CSIRT 

  

 

Ivanti 

CVE-2023-46805  

Alestra CSIRT 

 

CVE-2024-21887  

 

 

 

Recomendaciones

  • En caso de contar con alguna de las vulnerabilidades que el grupo Salt Typhoon explota siga las recomendaciones y versiones parcheadas de los boletines publicados. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Security, E. (2025, Agosto 28). El grupo de ciberespionaje chino ‘Salty Typhoon’ comprometió infraestructura crítica a nivel global durante años. Enigma Security. Recuperado el 28 de agosto del 2025 en:  https://enigmasecurity.cl/noticias-3878/ 
  2. Mura. (2025, Febrero 22). Cisco confirma que Salt Typhoon aprovechó la vulnerabilidad CVE-2018-0171 para atacar redes de telecomunicacio. Remove Spyware & Malware With SpyHunter - EnigmaSoft Ltd. Recuperado el 28 de agosto del 2025 en: https://www.enigmasoftware.es/cisco-confirma-que-salt-typhoon-aprovecho-la-vulnerabilidad-cve-2018-0171-para-atacar-redes-de-telecomunicaciones-de-ee-uu/ 
  3. Montalvo, J. (2024, Diciembre 07). Ciberataque masivo chino: Salt Typhoon compromete la seguridad de las telecomunicaciones en Estados Unidos. Acontecimiento. Recuperado el 28 de agosto del 2025 en: https://acontecimiento.com/tecnologia/ciberataque-masivo-chino/ 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 2 días 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más