National Cyber Security Centre (NCSC) och 15 internationella partners har gett ut en gemensam varning. De varnar att hotaktörer kopplade till Kina döljer attacker genom nätverk av hackade vanliga internetenheter.
Varningen berättar om en stor taktisk förändring. Grupper kopplade till Peking skickar nu aktivitet genom hundratusentals hackade hemroutrar och smarta enheter. De har bytt sin egen infrastruktur mot detta arbetssätt.
Botnät byggda av hackade hemmaenheter
Dokumentet ser ett tydligt mönster i Volt Typhoon och Flax Typhoon-operationer. I varje fall passerar trafiken genom hackade kontors- och hemroutrar innan den når målet.
De här dolda nätverken hjälper operatörer kopplade till Kina att söka efter mål, skicka skadlig kod och stjäla data. De gör också att det är svårare att veta varifrån attacken kommer.
Raptor Train, ett sådant nätverk, infekterade mer än 200 000 enheter i världen år 2024 enligt NCSC. FBI anser att Integrity Technology Group, ett cybersäkerhetsföretag i Peking, styrde det.
Storbritannien införde sanktioner mot det företaget i december 2025 på grund av farliga cyberaktiviteter mot sina allierade.
Många av de hackade enheterna är gamla webbkameror, videoinspelare, brandväggar och nätverkslagringsenheter. De får inte längre några säkerhetsuppdateringar från tillverkaren. Därför blir de enkla mål för massangrepp.
Västlig infrastruktur redan utsatt
Volt Typhoon har använt ett särskilt nätverk som heter KV Botnet. Gruppen har fått åtkomst till viktig nationell infrastruktur i USA och hos allierade länder.
Handlingar från Department of Justice i varningen stöder det. Elnät, transportsystem och statliga nätverk finns med bland målen.
Paul Chichester, operativ chef på NCSC, nämner ett annat problem, som kallas för borttagna komprometteringsindikatorer. Identifierare för att spåra angripare försvinner nästan lika fort som forskare publicerar dem.
Problemet liknar svårigheter att följa statligt stödda hackerattacker mot både viktig infrastruktur och finanssektorn.
Under de senaste åren har vi sett att cybergrupper i Kina medvetet använder sådana nätverk för att dölja sin skadliga aktivitet och försöka slippa ansvar, säger Paul Chichester, operativ chef på NCSC.
Varningen uppmanar organisationer att först bestämma normal nätverkstrafik, och sedan använda dynamiska hotflöden. De rekommenderar också att man ska se Kina-kopplade dolda nätverk som avancerade och ihållande hot.
År 2024 förlorades mer än 2 miljarder USD i digitala tillgångar på grund av cyberbrott. Kommande månader visar om försvaret orkar hänga med. Angriparen har redan gjort det svårt att identifiera vem som ligger bakom.
