Nhóm tin tặc Salt Typhoon trước đây đã bị cáo buộc tấn công nhiều công ty viễn thông lớn của Hoa Kỳ như AT&T và Verizon, Lumen Technologies và một số nhà cung cấp dịch vụ khác tại Hoa Kỳ và nước ngoài, nhằm xâm nhập vào hệ thống để thực hiện nghe lén.

Tháng 6/2025, Trung tâm An ninh mạng Canada và FBI đã cảnh báo rằng các nhóm tin tặc APT đã nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở Canada, Mỹ đánh cắp hồ sơ cuộc gọi và thông tin liên lạc riêng tư.

Trong một báo cáo vào tháng 6/2025 mà NBC News có được, Bộ Quốc phòng Mỹ đã cảnh báo rằng Salt Typhoon đã xâm phạm vào hệ thống mạng của đơn vị Vệ binh Quốc gia Lục quân ở một tiểu bang của Mỹ, thu thập thông tin có giá trị có thể tạo điều kiện cho việc tấn công vào hệ thống mạng của các đơn vị khác và các đối tác an ninh mạng cấp tiểu bang của họ.

Báo cáo viết: "Nếu các tác nhân mạng liên quan đến Trung Quốc thực hiện vụ tấn công thành công, điều này có thể làm suy yếu khả năng của các đối tác an ninh mạng cấp nhà nước trong việc bảo vệ cơ sở hạ tầng quan trọng của Mỹ trước các chiến dịch mạng của Trung Quốc trong trường hợp xảy ra khủng hoảng hoặc xung đột".

Theo Bộ Quốc phòng Mỹ, Salt Typhoon đã truy cập vào mạng bị xâm phạm trong khoảng thời gian từ tháng 3 đến tháng 12/2024, đánh cắp thông tin cấu hình và thu thập dữ liệu gửi đến và nhận được từ mạng của các đối tác ở các tiểu bang khác của Mỹ và ít nhất bốn vùng lãnh thổ khác của Mỹ". Dữ liệu này bao gồm thông tin đăng nhập của quản trị viên mạng và sơ đồ mạng, có thể được sử dụng để tạo điều kiện cho các cuộc tấn công Salt Typhoon tiếp theo vào các đơn vị này.

Theo báo cáo, từ tháng 01-3/2024, tin tặc Trung Quốc đã đánh cắp các tệp cấu hình của các tổ chức chính phủ và cơ sở hạ tầng quan trọng khác của Mỹ bao gồm ít nhất hai cơ quan chính quyền tiểu bang.

Bộ Quốc phòng Mỹ cho biết, trong năm 2023 và 2024, Salt Typhoon đã đánh cắp 1.462 tệp cấu hình mạng của khoảng 70 cơ quan chính phủ và cơ sở hạ tầng quan trọng của Mỹ từ 12 lĩnh vực, bao gồm các lĩnh vực quan trọng như: năng lượng, truyền thông, giao thông vận tải, nước...

Báo cáo cho biết, để giành truy cập ban đầu, tin tặc khai thác các lỗ hổng đã biết trong các thiết bị biên của Cisco và Palo Alto Networks, bao gồm: CVE-2018-0171, CVE-2023-20198, CVE-2023-20273 và CVE-2024-3400.

Bộ Quốc phòng Mỹ cho biết việc xâm phạm mạng lưới Vệ binh Quốc gia có thể làm suy yếu những nỗ lực nhằm bảo vệ cơ sở hạ tầng quan trọng khỏi các cuộc tấn công mạng. Lý do vì các đơn vị Vệ binh Quốc gia tại 14 tiểu bang đều được tích hợp với các trung tâm chịu trách nhiệm về tình báo mối đe dọa và đơn vị ở một tiểu bang cũng cung cấp dịch vụ phòng thủ mạng.

Báo cáo viết: "Việc Salt Typhoon truy cập vào hệ thống mạng của Vệ binh Quốc gia Lục quân tại các tiểu bang này có thể bao gồm thông tin về tình hình phòng thủ mạng của tiểu bang cũng như thông tin nhận dạng cá nhân và địa điểm làm việc của nhân viên an ninh mạng. Các dữ liệu này có thể được sử dụng để cung cấp thông tin cho các nỗ lực nhắm mục tiêu mạng trong tương lai".