Se dice que una organización europea de telecomunicaciones ha sido atacada por actores de amenazas afiliados a un grupo de ciberespionaje alineado con China conocido como Salt Typhoon.
Según Darktrace, la organización fue atacada en la primera semana de julio de 2025 y los atacantes obtuvieron acceso inicial explotando el dispositivo Citrix NetScaler Gateway.
Salt Typhoon, también conocido como Earth Estries, FamousSparrow, Ghostemperor y UNC5807, es el nombre que se le da a un actor de amenazas persistentes avanzadas con vínculos con China. Se sabe que el grupo está activo desde 2019 y saltó a la fama el año pasado tras ataques a proveedores de servicios de telecomunicaciones, redes de energía y sistemas gubernamentales en Estados Unidos.
Este atacante tiene un historial de explotación de fallas de seguridad en dispositivos periféricos, manteniendo una persistencia profunda y extrayendo datos confidenciales de víctimas en más de 80 países de América del Norte, Europa, Medio Oriente y África.
En este incidente observado contra un operador de telecomunicaciones europeo, los atacantes supuestamente usaron ese punto de apoyo para moverse a los hosts de Citrix Virtual Delivery Agent (VDA) en la subred Machine Creation Services (MCS) del cliente, mientras usaban simultáneamente SoftEther VPN para ocultar su verdadero origen.
Una de las familias de malware entregadas como parte del ataque es Snappybee (también conocido como Deed RAT), que parece ser un sucesor del malware ShadowPad (también conocido como PoisonPlug) introducido en el ataque anterior de Salt Typhoon. El malware se inicia mediante una técnica llamada descarga de DLL. Esta técnica ha sido adoptada por muchos grupos de hackers chinos a lo largo de los años.
«La puerta trasera se entregó a estos puntos finales internos como una DLL, junto con ejecutables legítimos de software antivirus como Norton Antivirus, Bkav Antivirus e IObit Malware Fighter», dijo Darktrace. «Este patrón de actividad indica que los atacantes dependen de la descarga de DLL a través de software antivirus legítimo para ejecutar sus cargas útiles».
El malware está diseñado para conectarse a un servidor externo (‘aar.gandhibludtric(.)com’) a través de HTTP y protocolos no identificados basados en TCP. Darktrace dijo que la intrusión fue identificada y remediada antes de que empeorara aún más.
«Salt Typhoon continúa desafiando a los defensores con su sigilo, tenacidad y uso indebido de herramientas legítimas», añadió la empresa. «La naturaleza cambiante de Salt Typhoon y su capacidad para reutilizar software e infraestructura confiables garantizan que seguirá siendo difícil de detectar utilizando únicamente métodos tradicionales».
Source link
