Se dice que una estructura europea de telecomunicaciones ha sido atacada por un actor de amenazas que se alinea con un corro de ciberespionaje conexión con China conocido como Salt Typhoon.
La estructura, según Darktrace, fue atacada en la primera semana de julio de 2025, y los atacantes explotaron un dispositivo Citrix NetScaler Gateway para obtener llegada auténtico.
Salt Typhoon, además conocido como Earth Estries, FamousSparrow, GhostEmperor y UNC5807, es el nombre que se le da a un actor de amenazas persistentes avanzadas con vínculos con China. Conocido por estar activo desde 2019, el corro ganó prominencia el año pasado luego de sus ataques a proveedores de servicios de telecomunicaciones, redes de energía y sistemas gubernamentales en los EE. UU.
El adversario tiene un historial de explotación de fallas de seguridad en dispositivos periféricos, manteniendo una profunda persistencia y extrayendo datos confidenciales de víctimas en más de 80 países de América del Boreal, Europa, Medio Oriente y África.
En el incidente observado contra la entidad europea de telecomunicaciones, se dice que los atacantes aprovecharon el punto de apoyo para pivotar en dirección a los hosts Citrix Imaginario Delivery Agent (VDA) en la subred Machine Creation Services (MCS) del cliente, mientras usaban SoftEther VPN para ocultar sus verdaderos orígenes.
Una de las familias de malware entregadas como parte del ataque es Snappybee (además conocido como Deed RAT), un supuesto sucesor del malware ShadowPad (además conocido como PoisonPlug) que se implementó en ataques anteriores de Salt Typhoon. El malware se bichero mediante una técnica señal carga supletorio de DLL, que ha sido adoptada por varios grupos de hackers chinos a lo dilatado de los primaveras.
«La puerta trasera se entregó a estos puntos finales internos como una DLL próximo con archivos ejecutables legítimos para software antivirus como Norton Antivirus, Bkav Antivirus e IObit Malware Fighter», dijo Darktrace. «Este patrón de actividad indica que el atacante se basó en la carga supletorio de DLL a través de un software antivirus cierto para ejecutar sus cargas aperos».
El malware está diseñado para contactar con un servidor extranjero («aar.gandhibludtric(.)com») a través de HTTP y un protocolo basado en TCP no identificado. Darktrace dijo que la actividad de intrusión fue identificada y remediada antaño de que pudiera intensificarse aún más.
«Salt Typhoon continúa desafiando a los defensores con su sigilo, persistencia y exceso de herramientas legítimas», añadió la empresa. «La naturaleza evolutiva de la tecnología de Salt Typhoon y su capacidad para reutilizar software e infraestructura confiables garantiza que seguirá siendo difícil de detectar utilizando nada más métodos convencionales».
