Volt Typhoon

En mai 2023, Microsoft et les agences de renseignement d’origine électromagnétique américaine, britannique, canadienne, australienne et néo-zélandaise révèlent conjointement une campagne d’intrusion chinoise baptisée Volt Typhoon. À la différence des campagnes d’espionnage que ces mêmes agences décrivent depuis une décennie, Volt Typhoon ne collecte pas de documents. Elle se prépositionne à l’intérieur d’infrastructures critiques américaines.

Vivre du terrain

Le savoir-faire technique est délibérément silencieux. Les opérateurs utilisent des utilitaires Windows intégrés — PowerShell, WMI, netsh, ntdsutil — plutôt qu’un malware sur mesure. Quand la persistance exige quelque chose de plus, ils utilisent des outils open source impossibles à distinguer de ceux qu’emploient les red teams. L’intention est de laisser la plus petite trace possible dans des environnements souvent dépourvus de journalisation endpoint approfondie.

Les cibles — opérateurs télécoms de Guam, distributeurs d’eau américains, sociétés de distribution électrique, plateformes de transport proches de bases américaines dans le Pacifique — ne sont pas choisies pour ce qu’elles savent. Elles le sont pour ce qu’elles font. Les avis de suivi de la CISA qualifient explicitement la campagne de préparation d’« attaques cyber perturbatrices ou destructives contre des infrastructures critiques américaines en cas de crise majeure ou de conflit avec les États-Unis » — un cadrage stratégique rare dans une attribution publique.

Ce que la chronique retient

Volt Typhoon a déplacé les opérations cyber chinoises, dans le discours public, du vol de propriété intellectuelle vers une posture plus proche de ce que les États-Unis eux-mêmes faisaient en Russie et en Iran. Le changement a remodelé les programmes occidentaux d’infrastructures critiques autour de la chasse à l’activité low-and-slow vivant du terrain, dans des environnements historiquement non instrumentés pour cela.