חוקרי סייבר בחברת Dragos מדווחים כי קבוצת הסייבר Voltzite המתמקדת בחדירה לרשתות טכנולוגיות תפעוליות (OT) בתשתיות קריטיות, כבר אוספת מל"מ במספר חברות חשמל בארה"ב, תוך שהיא מכוונת גם למפעלי הולכה והפצה חשמליים במדינות אפריקה. הממצאים הללו מאששים את ההצהרות האחרונות של ממשלת ארה"ב, לפיהן איום סייבר בחסות מדינות עוינות מתמקם מראש במערכות מחשוב של תשתיות קריטיות, כדי להיות מסוגל לזרוע כאוס ולשבש את רשת החשמל המקומית במקרה של סכסוך צבאי: "קבוצת Voltzite הינה יריב אסטרטגי, בעל משאבים טובים ומתוחכם מאד", אמר רוברט מ.לי – מייסד ומנכ"ל Dragos והוסיף: "וכשאנחנו מסתכלים על Voltzite, אנחנו יכולים לאמת את המיקוד שלהם באתרי חשמל אסטרטגיים".
במקרה אחד ש- Dragos חקרו, פרצו Voltzite למערכות המחשוב של חברת חשמל בינונית בארה"ב והצליחו להישאר מוסתרים במערכת המחשוב למעלה מ- 300 ימים. ניתוח נוסף הראה שקבוצת הסייבר חיפשה מידע שיכול לסייע במאמציה לעבור למערכות בקרה פיזיות.
מאז מאי 2023, ידוע ש- Voltzite (המכונה גם ברונזה סילואט, Vanguard Panda ו- UNC3236) ביצעה פעולות סייבר התקפי בשטח האמריקאי של גואם, פעולות סייבר נגד ספקי טלקום, נגד בסיסים צבאיים ונגד ארגון ניהול החירום של ארצות הברית. החקירה של Dragos חשפה ראיות להתרחבות פעילות הסייבר של Voltzite על פני חברות חשמל בארה"ב ועל פני מספר יעדים באפריקה. בנוסף, בחודש שעבר גילתה Dragos שקבוצת הסייבר עורכת איסוף מל"מ באמצעות סיור מקיף של שערי הרשת החיצוניים של ספקית תקשורת אמריקאית ומצאה ראיות לכך ש- Voltzite סיכנה את רשת מערכות המידע הגיאו-מרחביות (GIS) של שירותי החירום של עיר גדולה בארה"ב.
חקירת Dragos הראתה ש- Voltzite משתמשים בטכניקות שונות לגישה ולתנועה לרוחב בתוך רשתות מחשוב. סימן ההיכר שלהם הינו שימוש בכלים לגיטימיים כדי להימנע מזיהוי. טקטיקה אחת כוללת שימוש ב- csvde.exe – קובץ בינארי מקורי של Windows המשמש לייבוא וייצוא נתונים משירותי Active Directory באמצעות פורמט קובץ CSV. במקרים אחרים, הם משתמשים ב- Volume Shadow Copies (קבצים של מערכת ההפעלה Windows שיכולים לשמש כגיבויים) ובחילוץ מסד הנתונים של NTDS.dit Active Directory מבקר תחום, המונה חשבונות משתמשים, קבוצות ומחשבים והכי חשוב – מכיל את ה- hash של סיסמאות משתמשים. בעוד ש- Voltzite ידועים בשימוש בכלים מינימליים, הם גם משתמשים בכלי פרוקסי הפוך FRP ובמעטפות אינטרנט מרובות כדי לתעל נתונים לשרת פקודה ושליטה (C2) שלהם.
