Un recente attacco informatico ha coinvolto una delle principali organizzazioni di telecomunicazioni europee, colpita da un gruppo di cyber spionaggio avanzato noto come Salt Typhoon, collegato alla Cina. Questo gruppo, attivo dal 2019 e conosciuto anche con i nomi Earth Estries, FamousSparrow, GhostEmperor e UNC5807, ha già preso di mira infrastrutture critiche in oltre 80 paesi, tra cui servizi di telecomunicazioni, reti energetiche e sistemi governativi negli Stati Uniti, Europa, Medio Oriente e Africa.

L’attacco si è verificato nella prima settimana di luglio 2025, sfruttando una vulnerabilità presente nel Citrix NetScaler Gateway, un dispositivo fondamentale nei contesti aziendali per la gestione sicura degli accessi remoti. Gli aggressori sono riusciti così a ottenere un accesso iniziale ai sistemi, dimostrando ancora una volta come i dispositivi di edge network rappresentino spesso un punto debole per la sicurezza aziendale.

Dopo aver ottenuto l’accesso, Salt Typhoon ha utilizzato i privilegi acquisiti per spostarsi lateralmente verso altri sistemi interni, in particolare verso Citrix Virtual Delivery Agent (VDA) ospitati all’interno della subnet Machine Creation Services (MCS) del cliente. Per nascondere le proprie tracce e rendere più difficile la rilevazione, i cyber criminali hanno fatto uso di SoftEther VPN, una soluzione open source che consente di mascherare il reale punto di origine del traffico.

Malware Snappybee e tecniche di attacco

Uno degli aspetti più insidiosi dell’attacco è stato l’impiego del malware Snappybee, noto anche come Deed RAT, che rappresenta l’evoluzione del famigerato ShadowPad. Il malware è stato distribuito tramite una tecnica chiamata DLL side-loading, sfruttando l’esecuzione di file DLL malevoli accanto a eseguibili legittimi di software antivirus come Norton Antivirus, Bkav Antivirus e IObit Malware Fighter. Questa strategia permette ai malintenzionati di aggirare molti sistemi di difesa tradizionali, sfruttando software considerati affidabili.

Snappybee, una volta attivo, contatta server esterni tramite protocollo HTTP e altre comunicazioni TCP non identificate, facilitando il comando remoto e l’esfiltrazione di dati sensibili. Fortunatamente, l’intrusione è stata rilevata e bloccata prima che gli attaccanti potessero portare a termine il loro obiettivo.

Questo caso sottolinea l’evoluzione delle tattiche di Salt Typhoon, che si conferma abile nel mantenere la persistenza, muoversi in modo furtivo e sfruttare software legittimi per sfuggire ai controlli. La crescente sofisticazione di questi attacchi evidenzia la necessità di strumenti di sicurezza avanzati e di una costante attenzione alle vulnerabilità dei dispositivi di edge network.