Salt Typhoon eine vom chinesischen Staat geförderte APT-Gruppe (Advanced Persistent Threat), die vom chinesischen Ministerium für Staatssicherheit (MSS) betrieben wird. Die Gruppe ist seit mindestens 2019 aktiv und hat einige der folgenschwersten Cyberspionagekampagnen der jüngeren Geschichte durchgeführt – dabei wurden US-Telekommunikationsanbieter, Regierungsbehörden und kritische Infrastrukturen in mehr als 80 Ländern kompromittiert. Das FBI hat dies als einen der schwerwiegendsten Spionagevorfälle in der Geschichte der USA bezeichnet (FBI, August 2025).
Dieser Bedrohungsbericht erläutert, wer Salt Typhoon , wie die Gruppe über den gesamten Angriffszyklus hinweg vorgeht, welche Tools und malware einsetzt und was Verteidiger wissen müssen, um ihre Aktivitäten zu erkennen und einzudämmen. Er behandelt die Taktiken, Techniken und Verfahren (TTPs) der Gruppe, die dem MITRE ATT&CK zugeordnet sind, schlüsselt die von ihr verwendeten spezifischen „Living-off-the-Land“-Befehle auf und bietet Leitlinien für Strategien zur Verhaltenserkennung. SOC-Analysten, Threat Hunter, Sicherheitsarchitekten und CISOs finden hier umsetzbare Erkenntnisse zur Stärkung der Abwehrmaßnahmen gegen Salt Typhoon ähnliche staatlich geförderte APT-Gruppen.
Was ist Salt Typhoon?
Salt Typhoon eine Gruppe, die für fortgeschrittene, hartnäckige Bedrohungen (APT) verantwortlich ist und Verbindungen zum chinesischen Ministerium für Staatssicherheit unterhält. Sie hat sich auf langfristige Cyberspionagekampagnen gegen Telekommunikationsanbieter, Regierungsbehörden und kritische Infrastrukturen weltweit spezialisiert. Die Gruppe wird auch unter den Bezeichnungen Earth Estries (Trend Micro), GhostEmperor (Kaspersky), FamousSparrow (ESET) und UNC2286 (Mandiant) geführt.
Im Gegensatz zu den meisten Spionageakteuren, die ein Netzwerk infiltrieren, Daten extrahieren und dann weiterziehen, Salt Typhoon Persistenz. Es wurde beobachtet, dass die Gruppe über Monate bis Jahre hinweg Zugang zu kompromittierten Umgebungen aufrechterhält, bevor sie entdeckt wird. In mindestens einem bestätigten Fall Salt Typhoon drei Jahre lang Zugriff auf ein Telekommunikationsnetzwerk (Cisco, 2025). Diese Doppelstrategie – die Kombination aus Informationsbeschaffung und der Fähigkeit, Dienste während einer zukünftigen Krise zu stören – steht im Einklang mit den übergeordneten strategischen Zielen der VR China, einschließlich der Vorbereitung auf eine mögliche Konfrontation um Taiwan.
Die Zielauswahl Salt Typhoonhat sich seit 2020 erheblich weiterentwickelt. Frühe Kampagnen konzentrierten sich auf Regierungsbehörden, Hotels und Technologieunternehmen in Südostasien und Afrika. Bis 2024 hatte die Gruppe aggressiv in die US-amerikanische Telekommunikationsinfrastruktur expandiert und mindestens neun große Netzbetreiber kompromittiert, darunter AT&T, Verizon, T-Mobile, Lumen und Charter Communications (Wall Street Journal, 2024). International erstrecken sich die Opfer auf Telekommunikationsunternehmen, Beratungsfirmen, Rüstungsunternehmen, Chemieunternehmen, Transportdienstleister und gemeinnützige Organisationen in mehr als 20 Ländern (Trend Micro, 2024).
Die folgende Tabelle zeigt die Namenskonventionen Salt Typhoonbei den wichtigsten Sicherheitsanbietern. Dies ist für Bedrohungsjäger beim Abgleich von Informationsberichten hilfreich, da dieselbe Kampagne je nach Quelle unter unterschiedlichen Namen auftreten kann.
| Anbieter |
Alias |
Hauptfokus |
| Microsoft |
Salt Typhoon |
Telekommunikation, staatliche Spionage |
| Trend Micro |
Erd-Estries |
Branchenübergreifende APT-Kampagnen |
| Kaspersky |
GhostEmperor |
Rootkit-basierte Angriffe |
| ESET |
FamousSparrow |
Hotels, staatliche Maßnahmen |
| Mandiant / Google |
UNC2286 |
Cluster-Tracking (ohne Kategorie) |
| CrowdStrike |
OPERATOR PANDA |
Geschäfte mit Bezug zu China |
| Recorded Future |
RedMike |
Ausrichtung auf die Telekommunikationsinfrastruktur |
Schwerwiegende Salt Typhoon “ und zunehmende Ausbreitung
Der Aktionsradius Salt Typhoonhat sich zwischen 2023 und 2026 drastisch ausgeweitet und sich von regionalen Spionagekampagnen zu einer der geografisch am weitesten verteilten APT-Operationen entwickelt, die jemals öffentlich bekannt wurden. Das FBI bestätigte im August 2025, dass die Gruppe mehr als 200 Organisationen in 80 Ländern kompromittiert hatte (FBI, 2025). Die folgende Zeitleiste fasst die wichtigsten Meilensteine zusammen.
| Datum |
Veranstaltung |
| 2019–2023 |
Salt Typhoon Spionagekampagnen Salt Typhoon , die sich gegen Regierungsbehörden, Hotels und Technologieunternehmen in Südostasien und Afrika richten. |
| September 2024 |
Das Wall Street Journal berichtet, dass Salt Typhoon US-amerikanische Internetdienstanbieter und Breitbandanbieter Salt Typhoon , wobei Cisco-Router an den Netzwerkrändern ins Visier genommen wurden. |
| Oktober 2024 |
US-Behörden geben bekannt, dass Salt Typhoon CALEA-Abhörsysteme Salt Typhoon und auf Anrufdaten von über einer Million Nutzern zugegriffen hat. Neun große Netzbetreiber bestätigten, dass ihre Systeme kompromittiert wurden. |
| Dezember 2024 |
CISA, NSA, FBI und die „Five Eyes“-Partner veröffentlichen Leitlinien zur Verbesserung der Transparenz und Absicherung der Kommunikationsinfrastruktur. |
| Januar 2025 |
Das US-Finanzministerium verhängt Sanktionen gegen die Sichuan Juxinhe Network Technology Co. Das FBI setzt eine Belohnung von 10 Millionen Dollar aus. |
| Juni 2025 |
Viasat als Opfer genannt. Salt Typhoon auf südamerikanische Telekommunikationsunternehmen Salt Typhoon und setzt dabei neue Implantate ein (TernDoor, PeerTime, BruteEntry). |
| August 2025 |
Das FBI bestätigt mehr als 200 Organisationen in über 80 Ländern. Gemeinsame Warnmeldung veröffentlicht. Sicherheitslücke bei der Nationalgarde eines US-Bundesstaates bekannt gegeben. |
| Nov. 2025 |
Die australische Sicherheitsbehörde ASIO bestätigt, dass Salt Typhoon australische Telekommunikationsunternehmen und kritische Infrastrukturen Salt Typhoon . |
| Dezember 2025 |
In den E-Mail-Systemen eines Ausschusses des US-Repräsentantenhauses wurden unbefugte Zugriffe festgestellt. |
| Februar 2026 |
Norwegen bestätigt Kompromittierung. Das FBI erklärt, die Bedrohungen seien „nach wie vor sehr aktuell“. Singapur bestätigt, dass alle vier nationalen Telekommunikationsunternehmen angegriffen wurden. Senatorin Cantwell fordert eine Anhörung der CEOs von AT&T und Verizon. |
Norwegen bestätigt Kompromittierung. Das FBI erklärt, die Bedrohungen seien „nach wie vor sehr aktuell“. Singapur bestätigt, dass alle vier nationalen Telekommunikationsunternehmen angegriffen wurden. Senatorin Cantwell fordert eine Anhörung der CEOs von AT&T und Verizon.
Der Aktionsradius reicht weit über den Telekommunikationsbereich hinaus. Salt Typhoon Technologieunternehmen, Beratungsfirmen, Chemiehersteller, Rüstungsunternehmen, Transportdienstleister und gemeinnützige Organisationen ins Visier genommen (Trend Micro, 2024). Die operative Struktur der Gruppe lässt auf mehrere eigenständige Teams schließen, die für verschiedene Regionen und Branchen zuständig sind.
Wie greift Salt Typhoon ?
Salt Typhoon einer strukturierten, mehrstufigen Angriffsabfolge, bei der die Ausnutzung bekannter Schwachstellen für den Erstzugang, der Einsatz maßgeschneiderter malware Aufrechterhaltung der Präsenz sowie der umfassende Einsatz von „Living-off-the-Land“-Techniken kombiniert werden, um sich seitlich zu bewegen und dabei der Entdeckung zu entgehen. Das Markenzeichen der Gruppe ist Geduld: Die Kampagnen erstrecken sich über Monate, wobei die Angreifer schrittweise zusätzliche Tools einsetzen, sobald sich die operativen Anforderungen ändern.
Erster Zugriff: Ausnutzung öffentlich zugänglicher Server
Salt Typhoon verschafft sich Zugang Salt Typhoon durch die Ausnutzung bekannter Sicherheitslücken in öffentlich zugänglichen Servern, Netzwerkgeräten und VPN-Produkten. Zu den bestätigten Sicherheitslücken gehören:
- CVE-2023-46805 und CVE-2024-21887: Umgehung der Authentifizierung und Befehlsinjektion bei Ivanti Connect Secure
- CVE-2022-3236: Code-Injektion in Sophos Firewall
- CVE-2021-26855 (ProxyLogon): SSRF in Microsoft Exchange
- CVE-2025-5777: Citrix NetScaler Gateway
- Mehrere Sicherheitslücken in Cisco IOS XE, die auf Edge-Router abzielen
Ausführung und Persistenz: Benutzerdefinierte malware native Windows-Tools
Sobald Salt Typhoon die Ausführung von Code aus der Ferne Salt Typhoon , setzt die Gruppe verschlüsselte PowerShell-Skripte ein, die Hintertüren installieren, darunter das Demodex-Rootkit, SnappyBee, GhostSpider, HemiGate, Crowdoor, MASOL RAT und Cobalt Strike . Selbst in diesem frühen Stadium minimieren integrierte Windows-Tools die forensischen Spuren:
Umgehung der PowerShell-Ausführung:
powershell -ex bypass -c "<decryption_key>"
Persistenz der Registrierungsdaten:
reg add "HKCU\...\CurrentVersion\Run" /v "<n>" /t REG_SZ /d "<path>" /f
Erkundung: Kartierung der Domäne mit integrierten Tools
Salt Typhoon die Active-Directory-Umgebung mithilfe nativer Dienstprogramme:
cmd /c "net group 'domain admins' /domain"
wmic process get name,processid,commandline
Umgehung von Abwehrmaßnahmen: Einbindung in den normalen Betriebsablauf
Die Umgehung von Sicherheitsmaßnahmen erfolgt kontinuierlich und nicht in einzelnen Phasen. Zu den Techniken gehören die Ausführung von „Living-off-the-Land“-Angriffen, das Sideloading von DLLs über legitime Antivirensoftware (Norton, Bkav, IObit), PowerShell-Downgrade-Angriffe, die Verschlüsselung von Skripten, das Löschen von Protokollen sowie Rootkits im Kernel-Modus (Demodex).
Zugriff über Anmeldedaten und Rechteausweitung
Beim Sammeln von Anmeldedaten kommen Mimikatz, SnappyBee, Keylogger und Kerberos-Angriffe zum Einsatz. Die Ausweitung von Berechtigungen erfolgt mithilfe von Cobalt Strike, Rootkits und der Ausnutzung von Sicherheitslücken innerhalb der kompromittierten Umgebung.
Seitliche Ausbreitung: Verbreitung im Netzwerk mit nativen Tools
Salt Typhoon Windows-Verwaltungstools, um Payloads über das Netzwerk zu kopieren und auszuführen:
copy \\<target_ip>\C$\Windows\Temp\payload.bat
wmic /node:<target_ip> process call create "cmd /c ...\payload.bat"
Der bemerkenswerteste Befehl vereint Persistenz, seitliche Bewegung, Privilegienausweitung und Umgehung von Abwehrmaßnahmen in einem einzigen Vorgang:
sc \\<target_ip> create VGAuthtools type= own start= auto
binpath= "C:\...\installutil.exe C:\...\malware.exe"
Befehls- und Kontrollfunktionen sowie Datenexfiltration
Für die dauerhafte C2-Kommunikation werden Cobalt Strike , Demodex sowie Zweikanal-Ansätze genutzt, bei denen eine dedizierte Infrastruktur mit legitimen Diensten (AnonFiles, File.io, GitHub, Gmail, LightNode VPS) kombiniert wird.
Anhaltende Spionage und mögliche Störungen
Salt Typhoon dauerhaften Zugriff für die kontinuierliche Informationsbeschaffung und bereitet sich auf mögliche Dienstunterbrechungen im Falle einer geopolitischen Krise vor. Im Rahmen der Telekommunikationskampagne umfasste dies den Zugriff auf CALEA-Abhörsysteme sowie die Überwachung der Kommunikation hochrangiger Regierungsbeamter.
Salt Typhoon , zugeordnet zu MITRE ATT&CK
Die folgende Tabelle ordnet die bestätigten Techniken Salt Typhoon MITRE ATT&CK zu und ermöglicht es Bedrohungsjägern, Erkennungsregeln zu erstellen und die Abdeckung der Kill Chain zu überprüfen. Die Einträge spiegeln die TTPs aus dem gemeinsamen Advisory vom September 2025 (CISA AA25-239A) sowie aus mehreren Herstellerberichten wider.
| ATT&CK-Taktik |
Beobachtete Techniken |
Salt Typhoon / Methoden |
| Erster Zugang |
Ausnutzung einer öffentlich zugänglichen Anwendung (T1190) |
Ivanti, Sophos, Exchange, Cisco, Citrix – CVEs |
| Ausführung |
Befehls- und Skript-Interpreter (T1059) |
PowerShell -ex-Umgehung, cmd /c, WMIC |
| Persistenz |
Registrierungsschlüssel ausführen (T1547.001), Dienste erstellen (T1543.003), Web-Shells (T1505.003) |
reg add, sc create unter Missbrauch von installutil, Web-Shells |
| Privilegieneskalation |
Ausnutzung (T1068), Missbrauch durch Erhöhen von Berechtigungen (T1548) |
Cobalt Strike, Demodex-Rootkit, Missbrauch von installutil |
| Verteidigungsausweichung |
DLL-Sideloading (T1574.002), Entfernen von Indikatoren (T1070), Verschleierung (T1027) |
AV-Sideloading, Protokollbereinigung, PS-Downgrade, Verschlüsselung |
| Zugriff auf Anmeldedaten |
Auslesen von Betriebssystem-Anmeldedaten (T1003), Erfassen von Eingaben (T1056) |
Mimikatz, SnappyBee, Keylogger, Kerberos-Angriffe |
| Entdeckung |
Kontenermittlung (T1087), Prozessermittlung (T1057) |
net group /domain, wmic process, Port-Scanner |
| Seitliche Bewegung |
Fernwartung (T1021), seitlicher Werkzeugwechsel (T1570) |
SMB-Kopie, WMIC-Fernausführung, Diensterstellung, RDP |
| Sammlung |
Daten aus dem lokalen System (T1005), E-Mail-Erfassung (T1114) |
Datenvorbereitung, E-Mail-Erfassung, CALEA-Überwachung |
| C2 |
Protokoll der Anwendungsschicht (T1071), Verschlüsselter Kanal (T1573) |
Cobalt Strike, Demodex, LightNode VPS, HTTP/TCP |
| Exfiltration |
Exfiltration über einen Webdienst (T1567) |
AnonFiles, File.io, GitHub, Gmail |
Wie schneidet Salt Typhoon zu Volt Typhoon Salt Typhoon ?
Salt Typhoon Volt Typhoon beides mit der Volksrepublik China verbundene APT-Gruppen, verfolgen jedoch unterschiedliche strategische Ziele. Das Verständnis dieser Unterschiede hilft den Verteidigern dabei, Prioritäten bei ihren Erkennungsstrategien zu setzen.
| Dimension |
Salt Typhoon |
Volt Typhoon |
| Hauptaufgabe |
Cyberspionage und Informationsbeschaffung |
Vorbereitung auf einen radikalen Umbruch |
| Hauptziele |
Telekommunikation, Behörden, Verteidigung |
Energie, Wasser, Verkehr, Militärlogistik |
| Erster Zugang |
zero-day auf Servern, Routern und VPNs |
Kompromittierung von SOHO-Routern, Ausnutzung von Edge-Geräten |
| Wichtige Technik |
LotL + maßgeschneidertes malware |
Lebt fast ausschließlich von dem, was das Land hergibt (keine malware) |
| Verweildauer |
Monate bis Jahre (nachgewiesene Persistenz über 3 Jahre) |
Jahre (nachweislich seit mindestens 5 Jahren vor Ort) |
| Umfang |
Über 200 Organisationen, über 80 Länder |
Vor allem kritische Infrastruktur in den USA |
Für die Verteidiger nutzen beide Gruppen denselben Erkennungsblindfleck aus: legitime Systemtools, die normal aussehende Befehle ausführen. Um beides zu verhindern, ist eine verhaltensbasierte Erkennung erforderlich, die Aktivitäten über Identitäts-, Netzwerk- und cloud hinweg miteinander verknüpft.
Erkennung von Salt Typhoon Aktivitäten mithilfe von verhaltensbasierter KI
Dank Salt Typhoon„Living-off-the-Land“-Techniken ist Salt Typhoonfür signaturbasierte Erkennung und endpoint Endpunktüberwachung nahezu unsichtbar. Um ihn zu erkennen, müssen Verhaltenssignale über die gesamte Angriffsfläche hinweg korreliert werden: Netzwerkverkehr, Identitätsverhalten und cloud .
Die Vectra AI erkennt Aktivitäten Salt Typhoon, indem sie analysiert, wie sich Aktionen über verschiedene Umgebungen hinweg entwickeln, und sich dabei eher auf Verhaltensmuster der Angreifer als auf bekannte Indikatoren konzentriert. Während eines Angriffs im Stil von „Typhoon“ macht die Plattform unter anderem folgende Erkennungen sichtbar:
- Ungewöhnliche Muster der Remote-Ausführung, die mit WMIC- und PowerShell-basierter lateraler Bewegung übereinstimmen
- Verdächtige Kerberos-Aktivitäten, die auf einen Diebstahl von Anmeldedaten oder „Golden-Ticket“-Angriffe hindeuten
- Anomalien bei Berechtigungen, bei denen Konten plötzlich Zugriffsrechte über die festgelegten Grenzwerte hinaus erweitern
- Brute-Force-Angriffe auf SMB-Dienste und ungewöhnliche Dateifreigaben zwischen internen Segmenten
- Versteckte Tunnel und verschlüsselte Kanäle, die für die C2-Kommunikation charakteristisch sind
- Ungewöhnliche PowerShell- und Azure AD-Aktivitäten, die auf einen Missbrauch auf Identitätsebene hindeuten
Diese Signale werden von KI-Agenten miteinander verknüpft, die den gesamten Angriffsverlauf automatisch analysieren, priorisieren und anhand dynamischer Angriffsdiagramme visualisieren, sodass die Verteidiger eingreifen können, bevor der Angriff weiter voranschreitet.
So schützt man sich vor Salt Typhoon
Die Abwehr von Salt Typhoon einen mehrschichtigen Ansatz, der sich mit dem anfänglichen Zugriff über Exploits, der Ausführung von „Living-off-the-Land“-Angriffen, Identitätsmissbrauch und langfristiger Persistenz befasst. Diese Empfehlungen basieren auf der gemeinsamen Warnung von CISA, NSA und FBI (AA25-239A) sowie auf beobachteten Verhaltensmustern der Kampagne.
Führen Sie Patches zügig durch und räumen Sie Edge-Geräten Priorität ein. Der ErstzugangSalt Typhoonerfolgt durchweg über bekannte Sicherheitslücken (CVEs) in VPN-Geräten, Firewalls und Routern. Das FBI betonte im Februar 2026, dass grundlegende Konfigurationsfehler die Angriffspunkte darstellten.
Implementieren Sie Netzwerküberwachung und -reaktion in der gesamten Hybridumgebung. EDR-Agenten können nicht auf Routern und Switches ausgeführt werden, auf die Salt Typhoon . NDR bietet Einblick in laterale Bewegungen, Identitätsanomalien und verschlüsselte C2-Kanäle.
Überwachen Sie das Identitätsverhalten kontinuierlich. Achten Sie auf ungewöhnliche Erfassungen von Domänenadministratoren, unerwartete Berechtigungserweiterungen, ungewöhnliche Kerberos-Aktivitäten und den Missbrauch von Dienstkonten.
Führen Sie Netzwerksegmentierung und zero trust ein. Schränken Sie die Möglichkeiten für laterale Bewegungen ein , indem Sie kritische Infrastrukturen segmentieren und das Prinzip der geringsten Berechtigungen durchsetzen.
Nutzen Sie die oben stehende MITRE ATT&CK für eine proaktive Suche. Achten Sie auf ungewöhnliche PowerShell-Ausführungen, die Einrichtung von Remote-Diensten, die Remote-Ausführung von WMIC, das Sideloading von DLLs sowie verdächtige Änderungen an der Registrierung.
Verschlüsseln Sie die gesamte Kommunikation durchgehend. Das FBI empfahl als Reaktion auf die Sicherheitsverletzungen im Telekommunikationsbereich die Verwendung von durchgehend verschlüsselten Nachrichten.
