Een Europese telecommunicatieorganisatie zou het doelwit zijn geweest van een bedreigingsacteur die zich aansluit bij een cyberspionagegroep uit China, bekend als Salt Typhoon.
Volgens Darktrace was de organisatie het doelwit in de eerste week van juli 2025, waarbij de aanvallers een Citrix NetScaler Gateway-apparaat misbruikten om initiële toegang te verkrijgen.
Salt Typhoon, ook bekend als Earth Estries, FamousSparrow, GhostEmperor en UNC5807, is de naam die wordt gegeven aan een geavanceerde aanhoudende dreigingsacteur met banden met China. De groep staat bekend als actief sinds 2019 en kreeg vorig jaar bekendheid na de aanvallen op aanbieders van telecommunicatiediensten, energienetwerken en overheidssystemen in de VS.
De tegenstander heeft een trackrecord in het misbruiken van beveiligingsfouten in edge-apparaten, het handhaven van een diepgaande persistentie en het exfiltreren van gevoelige gegevens van slachtoffers in meer dan 80 landen in Noord-Amerika, Europa, het Midden-Oosten en Afrika.
In het incident tegen de Europese telecommunicatie-entiteit zouden de aanvallers gebruik hebben gemaakt van de positie om naar Citrix Virtual Delivery Agent (VDA)-hosts in het Machine Creation Services (MCS)-subnet van de klant te draaien, terwijl ze ook SoftEther VPN gebruikten om hun ware oorsprong te verdoezelen.
Een van de malwarefamilies die als onderdeel van de aanval worden geleverd, is Snappybee (ook bekend als Deed RAT), een vermoedelijke opvolger van de ShadowPad (ook bekend als PoisonPlug)-malware die is ingezet bij eerdere Salt Typhoon-aanvallen. De malware wordt gelanceerd door middel van een techniek genaamd DLL side-loading, die in de loop der jaren door een aantal Chinese hackgroepen is overgenomen.
“De achterdeur werd bij deze interne eindpunten afgeleverd als een DLL naast legitieme uitvoerbare bestanden voor antivirussoftware zoals Norton Antivirus, Bkav Antivirus en IObit Malware Fighter”, aldus Darktrace. “Dit activiteitenpatroon geeft aan dat de aanvaller afhankelijk was van DLL-sideloading via legitieme antivirussoftware om zijn payloads uit te voeren.”
De malware is ontworpen om contact te maken met een externe server (“aar.gandhibludtric(.)com”) via HTTP en een niet-geïdentificeerd TCP-gebaseerd protocol. Darktrace zei dat de inbraakactiviteit werd geïdentificeerd en verholpen voordat deze verder kon escaleren.
“Salt Typhoon blijft verdedigers uitdagen met zijn stealth, doorzettingsvermogen en misbruik van legitieme tools”, voegde het bedrijf eraan toe. “De evoluerende aard van het vak van Salt Typhoon en het vermogen om vertrouwde software en infrastructuur opnieuw te gebruiken, zorgt ervoor dat het moeilijk zal blijven om het te detecteren met alleen conventionele methoden.”
