Salt Typhoon un groupe chinois spécialisé dans les menaces persistantes avancées (APT), soutenu par l'État et dirigé par le ministère chinois de la Sécurité d'État (MSS). Actif depuis au moins 2019, ce groupe a mené certaines des campagnes de cyberespionnage les plus lourdes de conséquences de l'histoire récente, compromettant des opérateurs de télécommunications, des agences gouvernementales et des infrastructures critiques aux États-Unis et dans plus de 80 pays. Le FBI l'a qualifiée de l'une des violations d'espionnage les plus importantes de l'histoire des États-Unis (FBI, août 2025).
Ce rapport sur les menaces explique qui Salt Typhoon , comment ce groupe opère tout au long du cycle de vie d'une attaque, quels outils et malware déploie, et ce que les défenseurs doivent savoir pour détecter et contenir ses activités. Il passe en revue les tactiques, techniques et procédures (TTP) du groupe, mises en correspondance avec MITRE ATT&CK, détaille les commandes spécifiques de type « living-off-the-land » qu'il utilise, et fournit des conseils sur les stratégies de détection comportementale. Les analystes SOC, les chasseurs de menaces, les architectes de sécurité et les RSSI y trouveront des informations exploitables pour renforcer leurs défenses contre Salt Typhoon d'autres groupes APT étatiques similaires.
Qu'est-ce que Salt Typhoon?
Salt Typhoon un groupe de cybermenaces persistantes et sophistiquées lié au ministère chinois de la Sécurité d'État, spécialisé dans les campagnes de cyberespionnage à long terme visant des opérateurs de télécommunications, des agences gouvernementales et des infrastructures critiques à travers le monde. Ce groupe est également connu sous les noms de Earth Estries (Trend Micro), GhostEmperor (Kaspersky), FamousSparrow (ESET) et UNC2286 (Mandiant).
Contrairement à la plupart des acteurs malveillants qui infiltrent un réseau, extraient des données puis passent à autre chose, Salt Typhoon la persistance. On a observé que le groupe conservait un accès aux environnements compromis pendant des mois, voire des années, avant d’être découvert. Dans au moins un cas confirmé, Salt Typhoon l'accès à un réseau de télécommunications pendant trois ans (Cisco, 2025). Cette double approche, qui combine la collecte de renseignements et la capacité de perturber les services lors d'une crise future, s'inscrit dans les objectifs stratégiques plus larges de la République populaire de Chine, notamment la préparation à une éventuelle confrontation au sujet de Taïwan.
Les cibles Salt Typhoonont considérablement évolué depuis 2020. Les premières campagnes visaient principalement des organismes gouvernementaux, des hôtels et des entreprises technologiques en Asie du Sud-Est et en Afrique. En 2024, le groupe s’était étendu de manière agressive aux infrastructures de télécommunications américaines, compromettant au moins neuf grands opérateurs, dont AT&T, Verizon, T-Mobile, Lumen et Charter Communications (Wall Street Journal, 2024). À l'échelle internationale, les victimes proviennent des secteurs des télécommunications, des cabinets de conseil, des sous-traitants de la défense, des entreprises chimiques, des prestataires de transport et des organisations à but non lucratif dans plus de 20 pays (Trend Micro, 2024).
Le tableau ci-dessous présente les conventions de dénomination Salt Typhoonchez les principaux fournisseurs de solutions de sécurité. Il s'avère utile pour les chasseurs de menaces qui recoupent les rapports de renseignement, car une même campagne peut apparaître sous différents noms selon la source.
| Fournisseur |
Alias |
Objectif principal |
| Microsoft |
Salt Typhoon |
Télécommunications, espionnage d'État |
| Trend Micro |
Earth Estries |
Campagnes APT multisectorielles |
| Kaspersky |
GhostEmperor |
Intrusions par le biais de rootkits |
| ESET |
FamousSparrow |
Ciblage des hôtels et des administrations publiques |
| Mandiant / Google |
UNC2286 |
Suivi des grappes non classées |
| CrowdStrike |
OPÉRATEUR PANDA |
activités liées à la Chine |
| Recorded Future |
RedMike |
Ciblage des infrastructures de télécommunications |
Salt Typhoon majeurs liés Salt Typhoon et élargissement de son champ d'action
Le champ d'action Salt Typhoons'est considérablement étendu entre 2023 et 2026, passant de campagnes d'espionnage régionales à l'une des opérations APT les plus étendues géographiquement jamais rendues publiques. Le FBI a confirmé en août 2025 que le groupe avait compromis plus de 200 organisations dans 80 pays (FBI, 2025). La chronologie ci-dessous résume les étapes clés.
| Date |
Événement |
| 2019-2023 |
Salt Typhoon des campagnes d'espionnage visant des organismes gouvernementaux, des hôtels et des entreprises technologiques en Asie du Sud-Est et en Afrique. |
| septembre 2024 |
Le Wall Street Journal rapporte que Salt Typhoon des FAI et des fournisseurs d'accès haut débit américains, en ciblant les routeurs Cisco situés aux périphéries des réseaux. |
| Octobre 2024 |
Des responsables américains ont révélé que Salt Typhoon les systèmes d'écoute téléphonique de la CALEA, accédant ainsi aux métadonnées d'appels de plus d'un million d'utilisateurs. Neuf grands opérateurs ont confirmé avoir été piratés. |
| Décembre 2024 |
La CISA, la NSA, le FBI et les partenaires du groupe « Five Eyes » publient des recommandations visant à renforcer la visibilité et la sécurité des infrastructures de communication. |
| janvier 2025 |
Le Trésor américain impose des sanctions à la société Sichuan Juxinhe Network Technology Co. Le FBI annonce une prime de 10 millions de dollars. |
| juin 2025 |
Viasat désigné comme victime. Salt Typhoon aux télécommunications sud-américaines avec de nouveaux implants (TernDoor, PeerTime, BruteEntry). |
| août 2025 |
Le FBI confirme que plus de 200 organisations dans plus de 80 pays sont concernées. Un avis conjoint a été publié. Une faille de sécurité au sein de la Garde nationale d'un État américain a été révélée. |
| novembre 2025 |
L'ASIO australienne confirme que l'opération « Salt Typhoon les télécommunications et les infrastructures critiques australiennes. |
| Décembre 2025 |
Des intrusions ont été détectées dans les systèmes de messagerie électronique d'une commission de la Chambre des représentants des États-Unis. |
| février 2026 |
La Norvège confirme le compromis. Le FBI indique que les menaces « persistent toujours ». Singapour confirme que ses quatre opérateurs nationaux de télécommunications ont été piratés. La sénatrice Cantwell exige que les PDG d'AT&T et de Verizon témoignent. |
La Norvège confirme le compromis. Le FBI indique que les menaces « persistent toujours ». Singapour confirme que ses quatre opérateurs nationaux de télécommunications ont été piratés. La sénatrice Cantwell exige que les PDG d'AT&T et de Verizon témoignent.
Le champ d'action de ce groupe dépasse largement le secteur des télécommunications. Salt Typhoon pris pour cible des entreprises technologiques, des cabinets de conseil, des fabricants de produits chimiques, des sous-traitants du secteur de la défense, des prestataires de transport et des organisations à but non lucratif (Trend Micro, 2024). La structure opérationnelle du groupe laisse supposer l'existence de plusieurs équipes distinctes chargées de différentes régions et de différents secteurs d'activité.
Comment Salt Typhoon -t-il ?
Salt Typhoon une séquence d'attaque structurée en plusieurs étapes qui combine l'exploitation de vulnérabilités connues pour obtenir un accès initial, le déploiement de malware sur mesure malware la persistance, et le recours intensif à des techniques de type « living-off-the-land » pour se déplacer latéralement tout en échappant à la détection. La patience est la marque de fabrique du groupe : les campagnes s'étendent sur plusieurs mois, les attaquants déployant progressivement des outils supplémentaires à mesure que les besoins opérationnels évoluent.
Accès initial : exploitation de serveurs accessibles au public
Salt Typhoon s'introduit Salt Typhoon en exploitant des vulnérabilités connues dans les serveurs accessibles au public, les équipements réseau et les produits VPN. Parmi les vulnérabilités dont l'exploitation a été confirmée, on peut citer :
- CVE-2023-46805 et CVE-2024-21887 : contournement de l'authentification et injection de commandes dans Ivanti Connect Secure
- CVE-2022-3236 : injection de code dans Sophos Firewall
- CVE-2021-26855 (ProxyLogon) : SSRF dans Microsoft Exchange
- CVE-2025-5777 : Citrix NetScaler Gateway
- Plusieurs vulnérabilités de Cisco IOS XE visant les routeurs périphériques
Exécution et persistance : malware personnalisés malware aux outils natifs de Windows
Une fois que Salt Typhoon exécuter du code à distance, le groupe déploie des scripts PowerShell chiffrés qui installent des portes dérobées, notamment le rootkit Demodex, SnappyBee, GhostSpider, HemiGate, Crowdoor, le RAT MASOL et Cobalt Strike . Même à ce stade précoce, les outils Windows intégrés permettent de réduire au minimum les traces laissées :
Contournement de l'exécution de PowerShell :
powershell -ex bypass -c "<decryption_key>"
Persistance du registre :
reg add "HKCU\...\CurrentVersion\Run" /v "<n>" /t REG_SZ /d "<path>" /f
Reconnaissance : cartographier le domaine à l'aide des outils intégrés
Salt Typhoon l'environnement Active Directory à l'aide d'utilitaires natifs :
cmd /c "net group 'domain admins' /domain"
wmic process get name, processid, commandline
Contournement des mesures de sécurité : se fondre dans les opérations courantes
Le contournement des systèmes de défense est un processus continu, et non une étape distincte. Parmi les techniques utilisées, on peut citer l'exécution « living-off-the-land », le chargement latéral de DLL via des logiciels antivirus légitimes (Norton, Bkav, IObit), les attaques par rétrogradation de PowerShell, le chiffrement des scripts, l'effacement des journaux et les rootkits en mode noyau (Demodex).
Accès aux identifiants et élévation des privilèges
La collecte d'identifiants s'appuie sur Mimikatz, SnappyBee, des enregistreurs de frappe et des attaques Kerberos. L'escalade des privilèges repose sur Cobalt Strike, des rootkits et l'exploitation de vulnérabilités au sein de l'environnement compromis.
Mouvement latéral : propagation à travers le réseau à l'aide d'outils natifs
Salt Typhoon les outils d'administration Windows pour copier et exécuter des charges utiles sur le réseau :
copy \\<target_ip>\C$\Windows\Temp\payload.bat
wmic /node:<target_ip> process call create "cmd /c ...\payload.bat"
La commande la plus remarquable combine la persistance, le déplacement latéral, l'escalade des privilèges et le contournement des défenses en une seule opération :
sc \\<target_ip> create VGAuthtools type= own start= auto
binpath= "C:\...\installutil.exe C:\...\malware.exe"
Commande et contrôle et exfiltration de données
La communication C2 persistante utilise Cobalt Strike , Demodex, ainsi que des approches à double canal combinant une infrastructure dédiée à des services légitimes (AnonFiles, File.io, GitHub, Gmail, LightNode VPS).
Activités d'espionnage en cours et risques de perturbation
Salt Typhoon un accès permanent afin de permettre une collecte continue de renseignements et se positionne en vue d'une éventuelle perturbation des services en cas de crise géopolitique. Dans le cadre de la campagne visant les télécommunications, cela comprenait l'accès aux systèmes d'écoute téléphonique CALEA et la surveillance des communications de hauts responsables gouvernementaux.
Salt Typhoon mises en correspondance avec le modèle MITRE ATT&CK
Le tableau ci-dessous établit une correspondance entre les techniques confirmées Salt Typhoonet MITRE ATT&CK , permettant ainsi aux chasseurs de menaces d'élaborer des règles de détection et de vérifier la couverture de la chaîne d'attaque. Les entrées reflètent les TTP issues de l'avis conjoint de septembre 2025 (CISA AA25-239A) et de plusieurs rapports de fournisseurs.
| Tactique ATT&CK |
Techniques observées |
Salt Typhoon et méthodes Salt Typhoon |
| Accès initial |
Exploiter une application accessible au public (T1190) |
Ivanti, Sophos, Exchange, Cisco, Citrix (CVE) |
| Exécution |
Interpréteur de commandes et de scripts (T1059) |
Contournement de l'option -ex de PowerShell, cmd /c, WMIC |
| Persistance |
Exécution de clés de registre (T1547.001), Création de services (T1543.003), Shells Web (T1505.003) |
reg add, sc create avec utilisation abusive d'installutil, shells Web |
| L'escalade des privilèges |
Exploitation (T1068), Élévation des privilèges (T1548) |
Cobalt Strike, rootkit Demodex, utilisation abusive d'InstallUtil |
| Évasion de la défense |
Chargement latéral de DLL (T1574.002), suppression d'indicateurs (T1070), obfuscation (T1027) |
Installation manuelle de fichiers AV, suppression des journaux, rétrogradation du PS, chiffrement |
| Accès aux informations d'identification |
Extraction des identifiants du système d'exploitation (T1003), Capture des données saisies (T1056) |
Mimikatz, SnappyBee, enregistreurs de frappe, attaques Kerberos |
| Découverte |
Recherche de comptes (T1087), Recherche de processus (T1057) |
groupe de réseaux / domaine, wmic process, scanners de ports |
| Mouvement latéral |
Services à distance (T1021), Transfert latéral d'outils (T1570) |
Copie SMB, exécution à distance via WMIC, création de service, RDP |
| Collection |
Données provenant du système local (T1005), collecte par e-mail (T1114) |
Préparation des données, collecte d'adresses e-mail, interception au titre de la loi CALEA |
| C2 |
Protocole de la couche application (T1071), canal crypté (T1573) |
Cobalt Strike, Demodex, LightNode VPS, HTTP/TCP |
| Exfiltration |
Exfiltration via un service Web (T1567) |
AnonFiles, File.io, GitHub, Gmail |
En quoi Salt Typhoon -t-il du Volt Typhoon?
Salt Typhoon Volt Typhoon tous deux des groupes APT liés à la République populaire de Chine, mais ils poursuivent des objectifs stratégiques différents. Comprendre ces différences aide les défenseurs à hiérarchiser leurs stratégies de détection.
| Dimension |
Salt Typhoon |
Volt Typhoon |
| Mission principale |
Cyberespionnage et collecte de renseignements |
Se préparer à une rupture radicale |
| Cibles principales |
Télécommunications, administration publique, défense |
Énergie, eau, transports, logistique militaire |
| Accès initial |
zero-day de type « N-day » ou «zero-day » sur les serveurs, les routeurs et les VPN |
Compromission d'un routeur SOHO, exploitation d'un périphérique en périphérie |
| Technique clé |
LotL + malware personnalisés |
Vivant presque exclusivement de ce que la terre produit (sans malware) |
| Temps de séjour |
De quelques mois à plusieurs années (persistance confirmée sur trois ans) |
Années (présence confirmée depuis au moins 5 ans) |
| Champ d'application |
Plus de 200 organisations, plus de 80 pays |
Principalement les infrastructures critiques américaines |
Pour les défenseurs, ces deux groupes exploitent le même angle mort en matière de détection : des outils système légitimes exécutant des commandes d'apparence normale. Pour les neutraliser, il faut recourir à une détection comportementale qui établisse des corrélations entre les activités au niveau cloud d'identité, du réseau et cloud .
Détection d'une activité Salt Typhoon à l'aide d'une IA comportementale
Les techniques de « living-off-the-land » Salt Typhoonle rendent pratiquement indétectable par les systèmes de détection basés sur les signatures et les solutions de surveillance endpoint. Pour le détecter, il faut mettre en corrélation les signaux comportementaux sur l'ensemble de la surface d'attaque : trafic réseau, comportement des identités et cloud .
plateforme Vectra AI plateforme les activités Salt Typhoon en analysant la manière dont les actions se déroulent dans différents environnements, en se concentrant sur les schémas de comportement des attaquants plutôt que sur des indicateurs connus. Lors d'une attaque de type Typhoon, la plateforme des détections telles que :
- Modèles inhabituels d'exécution à distance correspondant à des mouvements latéraux basés sur WMIC et PowerShell
- Activité Kerberos suspecte indiquant un vol d'identifiants ou des attaques de type « golden ticket »
- Anomalies au niveau des privilèges, lorsque des comptes obtiennent soudainement des droits d'accès supérieurs aux limites définies
- Tentatives de force brute visant les PME et partage anormal de fichiers entre segments internes
- Tunnels cachés et canaux cryptés caractéristiques des communications C2
- Activité anormale de PowerShell et d'Azure AD indiquant une utilisation abusive au niveau de l'identité
Ces signaux sont analysés par des agents d'IA qui trient, hiérarchisent et visualisent automatiquement l'ensemble du déroulement de l'attaque à l'aide de graphiques dynamiques, permettant ainsi aux défenseurs d'intervenir avant que l'attaque ne progresse.
Comment se protéger contre Salt Typhoon
La défense contre Salt Typhoon une approche à plusieurs niveaux visant à contrer l'accès initial par exploitation de vulnérabilités, l'exécution de code en exploitant les ressources existantes, l'usurpation d'identité et la persistance à long terme. Ces recommandations s'appuient sur l'avis conjoint de la CISA, de la NSA et du FBI (AA25-239A) ainsi que sur les comportements observés lors des campagnes.
Appliquez les correctifs de manière rigoureuse et donnez la priorité aux appareils périphériques. L'accès initialSalt Typhoons'appuie systématiquement sur des vulnérabilités CVE connues présentes dans les appareils VPN, les pare-feu et les routeurs. Le FBI a souligné en février 2026 que des erreurs de configuration élémentaires avaient servi de points d'entrée.
Déployez des solutions détection et réponse aux incidents l'ensemble de l'environnement hybride. Les agents EDR ne peuvent pas fonctionner sur les routeurs et les commutateurs Salt Typhoon . Le NDR offre une visibilité sur les mouvements latéraux, les anomalies d'identité et les canaux C2 chiffrés.
Surveillez en permanence les comportements liés aux identités. Soyez attentifs à toute énumération anormale des administrateurs de domaine, à toute élévation inattendue des privilèges, à toute activité Kerberos inhabituelle et à toute utilisation abusive des comptes de service.
Mettre en place une segmentation du réseau et une approche « zero trust ». Limiter les voies de propagation latérale en segmentant les infrastructures critiques et en appliquant le principe du « privilège minimal ».
Effectuez une recherche proactive à l'aide du MITRE ATT&CK ci-dessus. Recherchez toute exécution inhabituelle de PowerShell, la création de services à distance, l'exécution à distance via WMIC, le chargement latéral de DLL et les modifications suspectes du registre.
Chiffrer toutes les communications de bout en bout. Le FBI a recommandé l'utilisation de messageries chiffrées de bout en bout en réponse aux failles de sécurité dans les réseaux de télécommunications.
