Хакеры из Salt Typhoon взломали телекоммуникационную сеть в Европе с помощью уязвимости Citrix и вредоносного ПО Snappybee
Изображение: recraft
Кибершпионская группа Salt Typhoon, якобы связанная с Китаем, осуществила атаку на одну из телекоммуникационных компаний в Европе. Как сообщили специалисты Darktrace, инцидент произошёл в начале июля 2025 года. Злоумышленники использовали уязвимость в устройстве Citrix NetScaler Gateway, чтобы получить первоначальный доступ к внутренней сети организации.
ГруппаSalt Typhoon, известная также под названиями Earth Estries, FamousSparrow, GhostEmperor и UNC5807, действует с 2019 года.
По данным аналитиков, она специализируется на кибершпионаже и атакует государственные, телекоммуникационные и энергетические структуры по всему миру. Группа использует сложные механизмы проникновения, активно эксплуатируя уязвимости пограничных устройств и маскируя свою активность под легитимное сетевое поведение.
В ходе атаки на европейскую компанию злоумышленники продвинулись по внутренней сети, получив контроль над хостами Citrix Virtual Delivery Agent (VDA) в подсети Machine Creation Services. Для сокрытия своего присутствия использовался VPN-клиент SoftEther, что затрудняло определение географического источника атаки.
Одним из компонентов атаки стало вредоносное ПО Snappybee (известное также как Deed RAT), которое, как предполагается, является продолжением более раннего инструмента ShadowPad (он же PoisonPlug). Для внедрения Snappybee применялась техника подгрузки сторонних DLL-библиотек (DLL side-loading), при которой вредоносный код загружается через доверенные исполняемые файлы.
По информации Darktrace, бэкдор попадал на конечные устройства компании в виде DLL-файлов, сопровождающихся легитимными программами, включая антивирусное ПО Norton, Bkav и IObit. Этот приём позволял избежать автоматического обнаружения и создать иллюзию легальной активности в системе.
Snappybee связывался с внешним сервером, расположенным по адресу «aar.gandhibludtric[.]com», используя как HTTP, так и нестандартизированные TCP-протоколы. Благодаря внутренним средствам анализа и мониторинга, специалисты компании выявили и остановили атаку до того, как она привела к серьёзным последствиям.
В Darktrace говорят, что действия группировки Salt Typhoon продолжают представлять серьёзную угрозу. Злоумышленники отличаются высокой скрытностью, стойкостью в инфраструктуре и умением использовать привычные и легальные инструменты в обход стандартных механизмов обнаружения. Их активность требует внедрения многоуровневых механизмов защиты и постоянного мониторинга сетевого поведения.
