A Darktrace szerint 2025. július első hetében egy európai távközlési szervezet célpontja lett a Kínához köthető Salt Typhoon nevű kiberkémkedési csoportnak. A támadók a Citrix NetScaler Gateway egyik sebezhetőségét kihasználva szereztek kezdeti hozzáférést a rendszerhez, majd tovább terjesztkedtek a Citrix Virtual Delivery Agent (VDA) hosztokra az ügyfél Machine Creation Services (MCS) alhálózatán belül. A támadás során a SoftEther VPN-t használták, hogy elfedjék valódi kilétüket.
A Salt Typhoon – más néven Earth Estries, FamousSparrow, GhostEmperor vagy UNC5807 – 2019 óta aktív, és arról ismert, hogy világszerte több mint 80 országban támadott meg távközlési, energetikai és kormányzati rendszereket. A csoport ismertető jegyei a biztonsági rések kihasználása edge eszközökön, a mélyrendszerű beágyazottság fenntartása, valamint az érzékeny adatok hosszú távú kiszivárogtatása.
A mostani támadásban a Snappybee (Deed RAT) kártevőt alkalmazták, amely a korábbi Salt Typhoon támadásokban is bevetett ShadowPad (más néven PoisonPlug) kártevő utódjának tekinthető. A malware-t DLL side-loading technikával juttatták be, amit ismert antivírus szoftverek – például Norton Antivirus, a Bkav Antivirus és az IOrbit Malware Fighter – segítségével hajtottak végre. Ez lehetővé tette, hogy a káros kód legitim programok mellett fusson, így elkerülve a hagyományos biztonsági megoldásokat.
A Snappybee egy külső vezérlőszerverrel kommunikált HTTP-n és egy ismeretlen TCP-protokollon keresztül. A Darktrace szerint végül időben észlelték és még azelőtt elhárították a fenyegetést, hogy komolyabb károkat okozhatott volna. A cég szerint a Salt Typhoon továbbra is komoly kihívást jelent a védelmi szakembereknek a kifinomult, rejtőzködő működésével, valamint azzal, hogy képes legitim szoftverek és infrastruktúrák rosszindulatú célokra történő újrafelhasználására.