The National Cyber Security Centre (NCSC) og 15 internationale partnere har udsendt en fælles advarsel. Den advarer om, at statsstøttede aktører med forbindelse til Kina gemmer angreb bag netværk af kompromitterede hverdags-internet-enheder.
Advarslen beskriver et markant taktisk skifte. Grupper tilknyttet Beijing sender nu aktivitet gennem hundredtusindvis af kompromitterede hjemmeroutere og smart-enheder. Den metode har erstattet dedikeret infrastruktur til angreb.
Botnet skabt af kompromitterede hjemme-enheder
Dokumentet viser et mønster på tværs af Volt Typhoon og Flax Typhoon-operationer. I begge tilfælde sendes trafikken gennem kompromitterede routere fra små kontorer og private hjem, før den rammer sit mål.
Disse skjulte netværk hjælper Kina-forbundne aktører med at scanne mål, sende malware og stjæle data. Samtidig skjuler de angrebenes oprindelse.
Raptor Train, et af de netværk, har ifølge NCSC inficeret over 200.000 enheder verden over i 2024. FBI har forbundet ledelsen med Integrity Technology Group, et cybersikkerhedsfirma fra Beijing.
Storbritannien indførte sanktioner mod virksomheden i december 2025 for hensynsløs cyberaktivitet mod sine allierede.
Mange af de kompromitterede maskiner er gamle webkameraer, video-optagere, firewalls og netværkslagringsenheder. Disse får ikke længere sikkerhedsopdateringer fra producenterne. Det gør dem til lette mål for systematisk udnyttelse.
Vestlig infrastruktur allerede inficeret
Volt Typhoon har brugt et separat skjult netværk kaldet KV Botnet. Gruppen har fodfæste på vital national infrastruktur i USA og allierede lande.
Dokumenter fra Department of Justice, som nævnes i advarslen, bakker op om denne konklusion. Energinet, transportsystemer og offentlige netværk udpeges som aktive mål.
Paul Chichester, direktør for drift i NCSC, fremhævede et særskilt problem kaldet “indicator of compromise extinction”. Identifikatorer brugt til at spore angribere forsvinder næsten lige så hurtigt, som forskere udgiver dem.
Problemet afspejler bredere udfordringer ved at spore statsstøttede hackerangreb mod både kritisk infrastruktur og finanssektoren.
I de seneste år har vi set en bevidst ændring, hvor cybergrupper fra Kina bruger netværkene til at skjule deres ondsindede aktivitet for at undgå ansvar,” sagde Paul Chichester, direktør for drift i NCSC.
Advarslen opfordrer organisationer til at holde styr på normal netværkstrafik og tage dynamiske trusselsdata i brug. Den anbefaler desuden at betragte Kina-relaterede skjulte netværk som avancerede vedvarende trusler i sig selv.
I 2024 har cyberangreb kostet over $2 milliarder i tab på digitale aktiver. De kommende måneder vil vise, om forsvarere kan følge med udviklingen. Modstanderen har gjort det umuligt at fastslå, hvem der står bag.
