Національний центр кібербезпеки Великої Британії (NCSC) спільно з 15 міжнародними партнерами оприлюднив спільне попередження. У ньому зазначено, що групи, пов’язані з КНР, маскують атаки за допомогою мереж із скомпрометованих побутових інтернет-пристроїв.
Попередження фіксує суттєву зміну тактики. Угруповання, що діють від імені Пекіна, скеровують активність крізь сотні тисяч зламаних домашніх маршрутизаторів і «розумних» пристроїв. Таким чином, їхня діяльність більше не залежить від виділеної інфраструктури зловмисників.
Ботнети зі скомпрометованих побутових пристроїв
Документ виявляє однакову модель у Volt Typhoon та Flax Typhoon. В усіх випадках шкідливий трафік проходить крізь малі офісні й домашні маршрутизатори, що вже були скомпрометовані, перш ніж досягти цілі.
Подібні приховані мережі надають пов’язаним із Китаєм операторам змогу проводити сканування, доставляти шкідливе ПЗ та ексфільтрувати дані. Водночас джерело атаки стає майже повністю невизначеним.
Мережа Raptor Train, за даними NCSC, у 2024 році інфікувала понад 200 000 пристроїв по всьому світу. Відповідальність за її адміністрування ФБР поклало на Integrity Technology Group, кібербезпекову компанію із Пекіна.
У грудні 2025 року Сполучене Королівство наклало санкції на цю компанію через протиправну кібердіяльність проти держав-союзників.
Значна частина заражених пристроїв – це камери, відеореєстратори, міжмережеві екрани й мережеві накопичувачі, що завершили життєвий цикл і не отримують оновлень безпеки від виробників. Подібні об’єкти особливо вразливі для масштабної експлуатації.
Західна критична інфраструктура вже під контролем
Volt Typhoon використовувала окрему приховану мережу під назвою KV Botnet. Угруповання розмістило плацдарми в ключових національних інфраструктурах США й країн-союзників.
Дані з матеріалів Міністерства юстиції США, які цитуються у попередженні, підтверджують ці висновки. Об’єктами атак виступають енергетичні мережі, транспортні системи, урядові ІТ-середовища.
Пол Чічестер, директор з операцій NCSC, наголосив і на іншій проблемі — явищі зникнення індикаторів компрометації. Ідентифікатори, що використовуються для відстеження зловмисників, зникають ледь не миттєво після їх публікації дослідниками.
Явище відображає загальні складнощі ідентифікації державних хакерських кампаній у критичних інфраструктурах і фінансовому секторі.
Останніми роками ми спостерігаємо цілеспрямований зсув у поведінці кібергруп із Китаю, що використовують приховані мережі для маскування злочинної активності й уникнення відповідальності», — Пол Чічестер, директор з операцій NCSC.
У документі організаціям рекомендовано створити непорушну базу для нормального мережевого трафіку і впроваджувати динамічні інструменти відстеження атак. Водночас групи, пов’язані з КНР, варто розглядати як самостійні advanced persistent threats (апт-групи, найвитриваліші кіберзловмисники).
У 2024 році зафіксовано цифрові втрати на понад $2 млрд унаслідок злочинної кібердіяльності. У найближчі місяці стане очевидно, чи зможуть захисники втримати темп. Адже сьогодні противник зробив недоступною навіть саму можливість визначати джерело загрози.
