Volt Typhoon mantém presença em utilities norte-americanas

O cibergrupo Volt Typhoon continua ativo em infraestruturas críticas norte-americanas e poderá manter acessos persistentes que nunca venham a ser totalmente identificados. O alerta consta do relatório anual da Dragos, empresa especializada em segurança de sistemas de tecnologia operacional (OT).

Segundo a Dragos, citada pelo The Record, o grupo ligado à China manteve atividades ao longo de 2025, apesar do aumento da vigilância por parte de autoridades militares e policiais dos Estados Unidos. O objetivo estratégico, de acordo com as autoridades norte-americanas, passa por posicionar atacantes em redes OT de utilities, permitindo lançar ataques destrutivos capazes de atrasar uma eventual mobilização militar.

Rob Lee, CEO da Dragos, afirmou que o grupo continua a mapear e a infiltrar-se em infraestruturas nos EUA e em países aliados. Questionado sobre a possibilidade de erradicar totalmente o Volt Typhoon das utilities já comprometidas, o responsável admitiu que existem locais nos EUA e em países da NATO onde as intrusões podem nunca ser descobertas.

O relatório indica que algumas grandes empresas do setor elétrico já dispõem de capacidades técnicas para detetar e remover estes atacantes. No entanto, outras infraestruturas críticas, como utilities do setor da água, dificilmente vão alcançar o mesmo nível de maturidade em cibersegurança, mantendo-se vulneráveis a compromissos prolongados.

A Dragos refere ainda a existência de um segundo grupo, designado SYLVANITE, que terá sido responsável por obter acessos iniciais a organizações de setores como petróleo e gás, água, produção e transmissão de energia e indústria transformadora, entregando posteriormente esses acessos ao Volt Typhoon.

Entre as campanhas recentes atribuídas aos dois grupos estão explorações de vulnerabilidades em soluções amplamente utilizadas, incluindo ferramentas da Ivanti e o software Trimble Cityworks para gestão de ativos GIS. Segundo a Dragos, o acesso a dados de sistemas GIS pode permitir a adversários planear ataques mais precisos a redes elétricas e de abastecimento de água.

A empresa destaca ainda uma evolução nas operações do Volt Typhoon, que passaram de uma lógica centrada na recolha e exfiltração de dados de redes IT para interações diretas com dispositivos ligados a redes OT, incluindo recolha de dados de sensores e informação operacional.

As autoridades chinesas têm negado qualquer envolvimento nas atividades do grupo. Contudo, investigações anteriores identificaram presença de atacantes associados ao Volt Typhoon em infraestruturas críticas em Guam e nas proximidades de bases militares norte-americanas.

A Dragos conclui que, ao ritmo atual de investimento e maturidade em cibersegurança, parte da infraestrutura crítica poderá permanecer comprometida por períodos prolongados, reforçando a necessidade de reforço de capacidades de deteção em ambientes OT.