Avrupa’daki bir telekomünikasyon kuruluşunun, Salt Typhoon olarak bilinen Çin bağlantılı bir siber casusluk grubuyla bağlantılı bir tehdit aktörü tarafından hedef alındığı söyleniyor.
Darktrace’e göre kuruluş, Temmuz 2025’in ilk haftasında, saldırganların ilk erişimi elde etmek için Citrix NetScaler Gateway cihazından yararlanmasıyla hedef alındı.
Earth Estries, FamousSparrow, GhostEmperor ve UNC5807 olarak da bilinen Salt Typhoon, Çin ile bağları olan gelişmiş kalıcı tehdit aktörüne verilen addır. 2019’dan bu yana aktif olduğu bilinen grup, geçen yıl ABD’deki telekomünikasyon hizmet sağlayıcılarına, enerji ağlarına ve hükümet sistemlerine yönelik saldırılarının ardından ön plana çıktı.
Düşmanın, Kuzey Amerika, Avrupa, Orta Doğu ve Afrika’da 80’den fazla ülkede uç cihazlardaki güvenlik kusurlarından yararlanma, derin kalıcılığı sürdürme ve kurbanlardan hassas verileri çalma konusunda bir geçmişi var.
Avrupa telekomünikasyon kuruluşuna karşı gözlemlenen olayda, saldırganların müşterinin Makine Oluşturma Hizmetleri (MCS) alt ağındaki Citrix Virtual Delivery Agent (VDA) ana bilgisayarlarına dönmek için dayanaktan yararlandıkları ve aynı zamanda gerçek kökenlerini gizlemek için SoftEther VPN kullandıkları söyleniyor.
Saldırının bir parçası olarak dağıtılan kötü amaçlı yazılım ailelerinden biri, önceki Salt Typhoon saldırılarında kullanılan ShadowPad (diğer adıyla PoisonPlug) kötü amaçlı yazılımının şüpheli halefi olan Snappybee’dir (diğer adıyla Deed RAT). Kötü amaçlı yazılım, yıllar boyunca bir dizi Çinli bilgisayar korsanlığı grubu tarafından benimsenen, DLL yandan yükleme adı verilen bir teknik aracılığıyla başlatılıyor.
Darktrace, “Arka kapı, bu dahili uç noktalara, Norton Antivirus, Bkav Antivirus ve IObit Malware Fighter gibi antivirüs yazılımları için meşru yürütülebilir dosyaların yanı sıra bir DLL olarak teslim edildi” dedi. “Bu aktivite modeli, saldırganın yüklerini yürütmek için yasal antivirüs yazılımı aracılığıyla DLL yan yüklemesine güvendiğini gösteriyor.”
Kötü amaçlı yazılım, harici bir sunucuyla (“aar.gandhibludtric) iletişim kurmak üzere tasarlanmıştır.[.]com”) ve tanımlanamayan bir TCP tabanlı protokol üzerinden. Darktrace, izinsiz giriş etkinliğinin daha fazla artmadan önce tanımlandığını ve düzeltildiğini söyledi.
Şirket, “Salt Typhoon gizliliği, kalıcılığı ve yasal araçların kötüye kullanılmasıyla savunuculara meydan okumaya devam ediyor” diye ekledi. “Salt Typhoon’un ticari becerisinin gelişen doğası ve güvenilir yazılım ve altyapıyı yeniden kullanma yeteneği, yalnızca geleneksel yöntemler kullanılarak tespit edilmesinin zor kalmasını sağlıyor.”