Salt Typhoon APT explora zero-days globalmente

O Salt Typhoon é um grupo de ameaça persistente avançada (APT) vinculado à China que está entre as operações de ciberespionagem mais sofisticadas contra infraestrutura crítica global. Também rastreado como Earth Estries, GhostEmperor e UNC2286, o grupo já promoveu ataques de alto impacto em provedores de telecomunicações, redes de energia e sistemas governamentais em mais de 80 países.

O ator de ameaça utiliza exploits de zero-day em dispositivos de borda, como Ivanti, Fortinet e Cisco, para obter acesso inicial. Ao mesmo tempo, emprega técnicas de DLL sideloading para manter furtividade e evitar mecanismos tradicionais de detecção por assinatura. Intrusões recentes mostram a capacidade do grupo em comprometer sistemas de interceptação legal e exfiltrar metadados de milhões de usuários.

As operações do Salt Typhoon misturam coleta de inteligência com influência geopolítica, evidenciando o caráter estratégico de campanhas patrocinadas por Estado.

Acesso inicial e movimentação na rede

Pesquisadores da DarkTrace identificaram atividade de intrusão em uma organização europeia de telecomunicações em julho de 2025, com táticas consistentes com os procedimentos conhecidos do grupo. O ataque começou com a exploração de uma vulnerabilidade no Citrix NetScaler Gateway, permitindo que o invasor se movimentasse para hosts Citrix Virtual Delivery Agent na sub-rede interna. O acesso inicial partiu de uma infraestrutura potencialmente ligada ao serviço SoftEther VPN, demonstrando obfuscação desde o início.

Mecanismos de DLL sideloading e persistência

A sofisticação técnica do Salt Typhoon fica clara pelo abuso sistemático de softwares legítimos para fins maliciosos. Pesquisadores observaram a entrega do backdoor SNAPPYBEE (também conhecido como Deed RAT) em múltiplos endpoints internos como arquivos DLL acompanhados de executáveis legítimos de antivírus confiáveis. O grupo mirou especialmente executáveis do Norton Antivirus, Bkav Antivirus e IObit Malware Fighter para facilitar operações de DLL sideloading.

Essa técnica permitiu executar cargas maliciosas sob a aparência de softwares de segurança reconhecidos, driblando controles tradicionais de proteção.

O backdoor estabeleceu comunicações de comando e controle por meio de endpoints LightNode VPS, usando tanto HTTP quanto um protocolo TCP não identificado. As comunicações HTTP apresentaram POST requests com padrões exclusivos de URI, como “/17ABE7F017ABE7F0”, conectando ao domínio aar.gandhibludtric[.]com (38.54.63[.]75), recentemente vinculado à infraestrutura do Salt Typhoon.