National Cyber Security Centre (NCSC) sekä 15 kansainvälistä kumppania julkaisivat yhteisen varoituksen. Siinä kehotetaan varovaisuuteen, sillä Kiinaan yhdistetyt uhkatoimijat peittävät hyökkäyksensä käyttämällä hyväksikäytettyjen tavallisten laitteiden verkkoja.
Varoitus kuvaa merkittävää muutosta taktiikassa. Pekingiin liitetyt ryhmät ohjaavat nykyään toimintansa satojen tuhansien kotireitittimien ja älylaitteiden kautta. Tämä korvaa hyökkääjien omistetun infrastruktuurin.
Botnetit koostuvat hyväksikäytetyistä kotilaitteista
Raportissa havaitaan kaava Volt Typhoonin ja Flax Typhoonin operaatioissa. Molemmissa tapauksissa liikenne kulkee hyväksikäytettyjen pienten toimistoreitittimien ja kotireitittimien kautta ennen kohteeseen saapumista.
Nämä piiloverkot auttavat Kiinaan yhdistettyjä toimijoita kartoittamaan kohteita, levittämään haittaohjelmia ja varastamaan tietoja. Samalla hyökkäysten alkuperä pysyy piilossa.
Raptor Train, yksi näistä verkoista, saastutti yli 200 000 laitetta maailmanlaajuisesti vuonna 2024 NCSC:n mukaan. FBI yhdisti sen hallinnan Integrity Technology Groupiin, joka on Pekingissä sijaitseva kyberturvallisuusyritys.
Yhdistynyt kuningaskunta asetti yritykselle pakotteet joulukuussa 2025 holtittoman kybertoiminnan vuoksi liittolaisiaan vastaan.
Monet hyväksikäytetyistä laitteista ovat käytöstä poistettuja verkkokameroita, videonauhureita, palomuureja ja verkkotallennuslaitteita. Niihin ei enää tule valmistajan tietoturvapäivityksiä. Tämän takia ne ovat helppoja kohteita laajamittaisille hyökkäyksille.
Länsimainen infrastruktuuri jo valmiiksi asemoituna
Volt Typhoon on käyttänyt erillistä piiloverkkoa, joka tunnetaan nimellä KV Botnet. Ryhmä on saanut jalansijaa kriittisessä kansallisessa infrastruktuurissa Yhdysvalloissa ja liittolaismaissa.
Oikeusministeriön asiakirjoissa, joihin varoituksessa viitataan, tuetaan näitä havaintoja. Tavoitteina mainitaan erityisesti energiaverkot, liikennejärjestelmät ja valtion tietoverkot.
Paul Chichester, NCSC:n operatiivinen johtaja, nosti esille myös ilmiön nimeltä kompromissien tunnisteiden häviäminen. Hyökkääjien tunnuslukuja katoaa lähes yhtä nopeasti kuin tutkijat ehtivät julkaista niitä.
Ilmiö kuvastaa laajempia haasteita valtiollisten hakkerointikampanjoiden seuraamisessa kriittisessä infrastruktuurissa ja finanssisektorilla.
Viime vuosina olemme nähneet Kiinan alueella toimivien kyberryhmien siirtyvän käyttämään näitä verkkoja, pyrkien piilottamaan vahingollisen toimintansa ja välttämään vastuun, totesi Paul Chichester, NCSC:n operatiivinen johtaja.
Varoitus kehottaa organisaatioita kartoittamaan normaalin verkkoliikenteen ja hyödyntämään dynaamisia uhkatietosyötteitä. Lisäksi suositellaan seuraamaan Kiinaan yhdistettäviä piiloverkkoja itsenäisinä pitkäkestoisina uhkina.
Vuonna 2024 kybertoiminnasta aiheutuneiden digitaalisten omaisuusvarojen tappioiden arvo ylitti 2 miljardia dollaria. Tulevat kuukaudet osoittavat, pystytäänkö puolustuksessa pysymään kehityksen mukana. Vastustaja on jo onnistunut tekemään hyökkäysten tunnistamisesta vaikeinta mahdollista.
