Quem é o Volt Typhoon
O Volt Typhoon (também designado Bronze Silhouette, VOLTZITE, Vanguard Panda) é um grupo APT atribuído com elevada confiança a atores patrocinados pelo Estado chinês. A primeira atribuição pública foi feita pela Microsoft e pela CISA em maio de 2023. O grupo opera desde pelo menos 2021 e foca-se em acesso pré-posicionado em infraestruturas críticas de países adversários, posicionamento que se acredita ser de interesse estratégico para eventual perturbação em contexto de conflito geopolítico.
TTPs principais (MITRE ATT&CK for ICS)
O grupo distingue-se pelo uso extensivo de técnicas "living-off-the-land" (LotL), usando ferramentas legítimas do sistema operativo para evitar deteção por soluções de segurança convencionais:
| Técnica MITRE | Descrição | Impacto |
|---|---|---|
T0819 | Exploit Public-Facing Application | Acesso inicial via VPN/firewall vulnerável |
T0891 | Hardcoded Credentials | Autenticação em equipamentos industriais com credenciais de fábrica |
T0812 | Default Credentials, PLC | Acesso a controladores industriais com passwords padrão |
T0869 | Standard Application Layer Protocol | C2 dissimulado em tráfego legítimo HTTPS/DNS |
T0853 | Scripting | PowerShell/WMI para movimento lateral sem malware binário |
Relevância para Portugal: O Dragos 2025 report documenta atividade do Volt Typhoon em redes de distribuição de energia elétrica e telecomunicações europeias. Operadores nacionais como EDP, REN, EPAL, AdP e principais operadores de telecomunicações devem assumir que estão no âmbito de interesse do grupo.
Dados do Dragos 2025 OT Cybersecurity Report
- +49% aumento de ataques state-aligned a setores de energia, transportes e água vs. 2024.
- 17 grupos de ameaças ICS/OT acompanhados pelo Dragos em 2025, dos quais 9 com capacidade demonstrada de perturbação de operações físicas.
- Top setores alvo: Energia elétrica (28%), Petróleo & Gás (22%), Manufactura crítica (18%), Água (12%).
- Vetor de acesso inicial mais comum: Exploração de VPNs e firewalls perimetrais (44% dos incidentes documentados).
- Presença média antes de deteção: 316 dias (APT state-aligned vs. 24 dias para ransomware criminal).
Implicações para operadores portugueses de setores críticos
À luz das obrigações do DL 125/2025 e das evidências do Dragos 2025 report, os operadores essenciais portugueses dos setores de energia, água e telecomunicações devem priorizar:
Segmentação de rede Purdue (OT/IT)
A segmentação entre os níveis L0-L2 (campo, controlo, supervisão) e L3-L4 (MES, enterprise) é o controlo mais eficaz contra movimento lateral após comprometimento inicial. A presença documentada de Volt Typhoon em redes OT demonstra que firewalls perimetrais insuficientemente configurados permitem progressão desde a rede corporativa até ao ambiente industrial.
MFA phishing-resistant em acessos administrativos
O grupo explorou sistematicamente interfaces de acesso remoto sem MFA ou com MFA contornável (SMS OTP). A implementação de MFA phishing-resistant (FIDO2/WebAuthn, certificados de hardware) em todos os acessos administrativos a sistemas OT deve ser tratada como urgente.
Auditoria e substituição de credenciais padrão
A técnica T0812 (Default Credentials em PLCs) é trivialmente evitável mas frequentemente ignorada em ambientes industriais onde a interoperabilidade de equipamentos é prioritária. Um inventário completo de ativos OT com verificação de credenciais padrão deve ser realizado com caráter urgente.
Referência NIS2: O Art. 21.º n.º 2 alínea h) do DL 125/2025 exige "segurança dos recursos humanos, políticas de controlo de acessos e gestão de ativos" como medida obrigatória. Os TTPs do Volt Typhoon exploram precisamente estas lacunas.