Một tổ chức viễn thông châu Âu được cho là đã bị nhóm tác nhân đe dọa liên kết với nhóm gián điệp mạng của Trung Quốc mang tên Salt Typhoon tấn công.
Theo Darktrace, tổ chức này đã bị nhắm mục tiêu vào tuần đầu tiên của tháng 7 năm 2025, khi những kẻ tấn công khai thác một thiết bị Citrix NetScaler Gateway để giành quyền truy cập ban đầu.
Salt Typhoon, còn được gọi là Earth Estries, FamousSparrow, GhostEmperor và UNC5807, là tên gọi của một nhóm tác nhân đe dọa dai dẳng nâng cao (APT) có liên hệ với Trung Quốc. Hoạt động từ năm 2019, nhóm này đã trở nên nổi bật vào năm ngoái sau các cuộc tấn công vào các nhà cung cấp dịch vụ viễn thông, mạng lưới năng lượng và hệ thống chính phủ tại Hoa Kỳ.
Nhóm này có lịch sử khai thác các lỗ hổng bảo mật trong các thiết bị biên (edge devices), duy trì sự hiện diện sâu rộng và đánh cắp dữ liệu nhạy cảm từ các nạn nhân ở hơn 80 quốc gia trên khắp Bắc Mỹ, Châu Âu, Trung Đông và Châu Phi.
Trong sự cố được quan sát đối với tổ chức viễn thông châu Âu, những kẻ tấn công được cho là đã lợi dụng chỗ đứng để chuyển sang các máy chủ Citrix Virtual Delivery Agent (VDA) trong mạng con Machine Creation Services (MCS) của khách hàng, đồng thời sử dụng SoftEther VPN để che giấu nguồn gốc thực sự của chúng.
Một trong những họ mã độc được triển khai trong cuộc tấn công là Snappybee (còn gọi là Deed RAT), được cho là phiên bản kế nhiệm của mã độc ShadowPad (còn gọi là PoisonPlug) đã được triển khai trong các cuộc tấn công trước đây của Salt Typhoon. Mã độc này được khởi chạy thông qua kỹ thuật gọi là DLL side-loading, một kỹ thuật đã được một số nhóm tin tặc Trung Quốc áp dụng trong nhiều năm qua.
"Backdoor đã được gửi đến các điểm cuối nội bộ này dưới dạng DLL cùng với các tệp thực thi hợp pháp của phần mềm diệt virus như Norton Antivirus, Bkav Antivirus và IObit Malware Fighter," Darktrace cho biết. "Mô hình hoạt động này chỉ ra rằng kẻ tấn công đã dựa vào DLL side-loading thông qua phần mềm diệt virus hợp pháp để thực thi các payload của chúng."
Mã độc được thiết kế để liên lạc với một máy chủ bên ngoài ("aar.gandhibludtric[.]com") qua HTTP và một giao thức dựa trên TCP không xác định. Darktrace cho biết hoạt động xâm nhập đã được xác định và khắc phục trước khi nó có thể leo thang hơn nữa.
"Salt Typhoon tiếp tục thách thức các nhà phòng thủ bằng sự tàng hình, dai dẳng và lạm dụng các công cụ hợp pháp của chúng," công ty nói thêm. "Bản chất phát triển của kỹ thuật tấn công của Salt Typhoon và khả năng tái sử dụng phần mềm và cơ sở hạ tầng đáng tin cậy, đảm bảo rằng việc phát hiện chúng sẽ vẫn khó khăn nếu chỉ sử dụng các phương pháp thông thường."
