El grupo chino de amenazas avanzadas (APT) Volt Typhoon atacó en 2023 a una empresa eléctrica en Massachusetts, en un intento por extraer datos confidenciales de su infraestructura de tecnología operativa (OT). Este es el primer ataque conocido del grupo contra una empresa eléctrica estadounidense, tras su oleada de ataques a telecomunicaciones y otras infraestructuras críticas.
El subgrupo Voltzite de Volt Typhoon infiltró los sistemas de los Departamentos de Luz y Agua de Littleton Electric (LELWD), manteniendo acceso a la red durante más de 300 días. El FBI y la empresa de seguridad Dragos colaboraron en la investigación, revelando que los atacantes buscaban información sobre procedimientos operativos y diseño espacial de la red eléctrica, datos cruciales para futuros ataques a la infraestructura física.
La intrusión fue detectada mediante la plataforma OT Watch de Dragos, que identificó movimientos laterales y uso de herramientas internas. Tras la mitigación, LELWD modificó su arquitectura de red para eliminar ventajas del atacante y reforzó su seguridad con visibilidad de activos, detección de amenazas y gestión de vulnerabilidades.
Volt Typhoon, conocido por comprometer enrutadores SOHO poco protegidos, ha atacado telecomunicaciones, bases militares y organizaciones de gestión de emergencias en EE.UU. Aunque las autoridades desmantelaron parte de su botnet en 2023, Dragos advierte que los ataques continuarán en 2025, especialmente contra infraestructuras críticas.
Recomendaciones clave:
- Implementar planes de gestión de parches para dispositivos VPN y firewalls.
- Monitorizar movimientos laterales inusuales y validar actividad sospechosa en cuentas de empleados.
- Fortalecer la segmentación de red y la respuesta a incidentes en entornos OT.
Este caso subraya la importancia de proteger infraestructuras críticas frente a amenazas persistentes y sofisticadas como Volt Typhoon.
