Se dice que una organización europea de telecomunicaciones fue atacada por un actor de amenazas que se alinea con un grupo de ciberespionaje vinculado a China conocido como Tifón salino .
La organización, por Darktrace , fue atacado en la primera semana de julio de 2025, y los atacantes explotaron un dispositivo Citrix NetScaler Gateway para obtener el acceso inicial.
Salt Typhoon, también conocido como Earth Estries, FamousSparrow, GhostEmperor y UNC5807, es el nombre que se le da a un actor de amenazas persistentes avanzado vinculado a China. Conocido por su actividad desde 2019, el grupo ganó protagonismo el año pasado tras sus ataques a proveedores de servicios de telecomunicaciones, redes de energía y sistemas gubernamentales en EE. UU.
El adversario tiene un historial de explotación de las fallas de seguridad en los dispositivos periféricos, manteniendo una profunda persistencia y extraiendo datos confidenciales de las víctimas en más de 80 países de Norteamérica, Europa, Oriente Medio y África.
En el incidente observado contra la entidad europea de telecomunicaciones, se dice que los atacantes aprovecharon el punto de apoyo para pasar a los hosts de Citrix Virtual Delivery Agent (VDA) en la subred de Machine Creation Services (MCS) del cliente, al tiempo que utilizaban SoftEther VPN para ocultar sus verdaderos orígenes.
Una de las familias de malware lanzadas como parte del ataque es Snappybee (también conocido como Deed RAT), un presunto sucesor del malware ShadowPad (también conocido como PoisonPlug) que ha sido desplegado en ataques anteriores de Salt Typhoon . El malware se lanza mediante una técnica llamada carga lateral de DLL, que ha sido adoptada por varios grupos de hackers chinos a lo largo de los años.
«La puerta trasera se entregaba a estos puntos finales internos como una DLL junto con archivos ejecutables legítimos para software antivirus como Norton Antivirus, Bkav Antivirus e IObit Malware Fighter», afirma Darktrace. «Este patrón de actividad indica que el atacante utilizó software antivirus legítimo para cargar las DLL de forma paralela para ejecutar sus cargas útiles».
El malware está diseñado para contactar con un servidor externo («aar.gandhibludtric [.] com») a través de HTTP y un protocolo basado en TCP no identificado. Darktrace dijo que la actividad de intrusión se identificó y solucionó antes de que pudiera intensificarse aún más.
«Salt Typhoon sigue desafiando a los defensores con su sigilo, persistencia y abuso de herramientas legítimas», agregó la empresa. «La naturaleza evolutiva del oficio de Salt Typhoon y su capacidad para reutilizar software e infraestructuras confiables garantizan que seguirá siendo difícil detectarlo utilizando únicamente los métodos convencionales».