Threat Intelligence

Volt Typhoon

Keine Malware, keine Alarme: Volt Typhoon nistet sich mit Bordmitteln in kritische Infrastrukturen ein – als strategische Vorbereitung für den Konfliktfall.

Kurz erklärt

Volt Typhoon ist eine China zugeordnete APT-Gruppe, die sich seit Jahren in kritische Infrastrukturen einnistet – Energie, Wasser, Kommunikation, Transport. Ihr Markenzeichen: Living off the Land. Statt Malware nutzt die Gruppe legitime Admin-Werkzeuge und kompromittierte Router, wodurch klassische Antivirus-Lösungen praktisch blind bleiben. Ziel ist nach Einschätzung westlicher Behörden die Vorbereitung von Sabotage im Konfliktfall.

Typ

APT – staatlich gesteuert (China)

Status

Aktiv – langfristige Persistenz; verwandt: Salt Typhoon gegen Telekom-Netze (Stand: Juli 2026)

Motivation

Strategische Positionierung / Sabotage-Vorbereitung, Spionage

Typische Ziele

KRITIS: Energie, Wasser, Telekommunikation, Transport, Militärnähe

Taktiken

Living off the Land (PowerShell, WMI, ntdsutil), kompromittierte SOHO-Router als Proxy, gestohlene gültige Zugangsdaten

Risiko-Einschätzung

Hoch für KRITIS – gerade weil kaum klassische Malware-Spuren entstehen

Was Unternehmen jetzt prüfen sollten

  • Verhaltensbasierte Erkennung statt reiner Signatur-AV – LotL fällt nur im Verhalten auf
  • Baselining: Welche Admin-Tools sind wann und von wem normal?
  • Credential-Hygiene: Passwortwechsel und Session-Invalidierung nach Verdacht
  • Randgeräte (Router, Firewalls) auf Kompromittierung und EoL-Status prüfen

Wie Argos unterstützt

Verhaltensbasierte 24/7-Erkennung im Cyber Defense Center, Threat Hunting nach Living-off-the-Land-Mustern und OT-Security für kritische Infrastrukturen.