Uma organização europeia de telecomunicações foi alvo de um ataque cibernético atribuído a um grupo de espionagem ligado à China, conhecido como Salt Typhoon.
De acordo com a empresa de segurança Darktrace, o incidente ocorreu na primeira semana de julho de 2025, quando os invasores exploraram uma vulnerabilidade no appliance Citrix NetScaler Gateway para obter acesso inicial à rede.
Salt Typhoon — também identificado pelos codinomes Earth Estries, FamousSparrow, GhostEmperor e UNC5807 — é um grupo de ameaças persistentes avançadas (APT) com conexões atribuídas à China.
Ativo desde 2019, o grupo ganhou notoriedade em 2024 ao promover ataques contra provedores de serviços de telecomunicações, redes de energia e sistemas governamentais nos Estados Unidos.
Com um histórico de exploração de falhas em dispositivos de borda (edge devices), o grupo mantém presença prolongada nas redes comprometidas, extraindo dados sensíveis em mais de 80 países, incluindo regiões da América do Norte, Europa, Oriente Médio e África.
No caso da organização europeia, os atacantes utilizaram o ponto de entrada para se movimentar lateralmente na rede, atingindo hosts Citrix Virtual Delivery Agent (VDA) no subnet do Machine Creation Services (MCS).
Além disso, empregaram o SoftEther VPN para ocultar sua origem real, dificultando a investigação.
Um dos malwares usados no ataque foi o Snappybee, também conhecido como Deed RAT, suspeito sucessor do ShadowPad (ou PoisonPlug), já empregado em ações anteriores do Salt Typhoon.
Esse malware é ativado por meio da técnica DLL side-loading, que permite carregar DLLs maliciosas juntamente com arquivos executáveis legítimos — uma tática comum entre grupos chineses.
"Essa backdoor foi entregue a endpoints internos como uma DLL, acompanhando arquivos legítimos de softwares antivírus como Norton Antivirus, Bkav Antivirus e IObit Malware Fighter", explicou a Darktrace.
"Esse padrão indica que os invasores utilizaram DLL side-loading por meio de antivírus confiáveis para executar seus payloads."
O malware tenta se comunicar com um servidor externo identificado como “aar[.]gandhibludtric[.]com” via HTTP e um protocolo TCP não especificado.
A Darktrace reforçou que a atividade maliciosa foi detectada e contida antes de causar danos maiores.
Segundo a empresa, “Salt Typhoon continua desafiando os defensores por sua furtividade, persistência e abuso de ferramentas legítimas.
A evolução das técnicas do grupo, aliada à capacidade de reutilizar softwares e infraestruturas confiáveis, torna sua detecção um desafio para os métodos tradicionais.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...