Chinesische Hacker infiltrieren europäisches Telekommunikationsnetz
Die als Salt Typhoon bekannte chinesische Hackergruppe hat Anfang Juli 2025 erfolgreich ein europäisches Telekommunikationsunternehmen angegriffen und dabei eine Sicherheitslücke in Citrix-Systemen ausgenutzt.
Laut dem Cybersicherheitsunternehmen Darktrace gelang es den Angreifern, sich über eine kompromittierte Citrix NetScaler Gateway-Appliance Zugang zum Netzwerk des Telekommunikationsanbieters zu verschaffen. Der Angriff ereignete sich in der ersten Juliwoche 2025 und folgte den typischen Mustern der seit 2019 aktiven Hackergruppe Salt Typhoon, die auch unter den Namen Earth Estries, FamousSparrow, GhostEmperor und UNC5807 bekannt ist.
Nach dem initialen Einbruch bewegten sich die Angreifer lateral durch das Netzwerk und zielten auf Citrix Virtual Delivery Agent (VDA) Hosts im Machine-Creation-Services-(MCS)-Subnetz des Unternehmens. Zur Verschleierung ihrer wahren Herkunft setzten die Hacker laut Darktrace SoftEther VPN-Technologie ein. Diese Vorgehensweise entspricht dem bekannten Muster der Gruppe, die bereits Telekommunikationsdienstleister, Energienetze und Regierungssysteme in mehr als 80 Ländern in Nordamerika, Europa, dem Nahen Osten und Afrika angegriffen hat.
Snappybee-Malware tarnt sich als Antivirus-Software
Als zentrales Angriffswerkzeug setzten die Hacker die Malware Snappybee ein, die auch als Deed RAT bezeichnet wird. Laut Darktrace handelt es sich dabei um einen mutmaßlichen Nachfolger der ShadowPad-Malware (auch PoisonPlug genannt), die bereits bei früheren Salt Typhoon-Angriffen zum Einsatz kam. Die Schadsoftware wird mittels einer Technik namens DLL Side-Loading ausgeführt, die von verschiedenen chinesischen Hackergruppen über Jahre hinweg perfektioniert wurde.
Besonders raffiniert gestaltete sich die Verbreitung der Malware: Die Angreifer lieferten die schädlichen DLL-Dateien zusammen mit legitimen ausführbaren Dateien von Antivirus-Software aus. „Die Hintertür wurde an diese internen Endpunkte als DLL zusammen mit legitimen ausführbaren Dateien für Antivirus-Software wie Norton Antivirus, Bkav Antivirus und IObit Malware Fighter geliefert“, erklärte Darktrace. Dieses Vorgehen zeige, dass die Angreifer auf DLL Side-Loading über legitime Antivirus-Software angewiesen waren, um ihre Schadsoftware auszuführen.
Die Snappybee-Malware ist darauf programmiert, Kontakt zu einem externen Server mit der Adresse „aar.gandhibludtric[.]com“ aufzunehmen. Die Kommunikation erfolgt sowohl über HTTP als auch über ein nicht identifiziertes TCP-basiertes Protokoll. Darktrace konnte die Eindringungsaktivitäten identifizieren und eindämmen, bevor diese weiter eskalieren konnten.
Anhaltende Bedrohung durch ausgefeilte Angriffstechniken
Salt Typhoon stellt laut Darktrace weiterhin eine erhebliche Herausforderung für Cybersicherheitsexperten dar. „Salt Typhoon fordert Verteidiger weiterhin mit seiner Heimlichkeit, Beständigkeit und dem Missbrauch legitimer Tools heraus“, erklärte das Unternehmen. Die sich entwickelnde Natur der Angriffsmethoden der Gruppe und ihre Fähigkeit, vertrauenswürdige Software und Infrastruktur für ihre Zwecke zu missbrauchen, sorge dafür, dass sie mit konventionellen Methoden allein schwer zu erkennen bleibe.
Die Hackergruppe hat sich in der Vergangenheit einen Namen durch die Ausnutzung von Sicherheitslücken in Edge-Geräten, das Aufrechterhalten tiefer Persistenz in kompromittierten Netzwerken und die Exfiltration sensibler Daten gemacht. Besondere Aufmerksamkeit erhielt Salt Typhoon im vergangenen Jahr nach Angriffen auf US-amerikanische Telekommunikationsdienstleister, Energienetze und Regierungssysteme. Der aktuelle Vorfall zeigt, dass die Gruppe ihre Aktivitäten auf europäische Ziele ausweitet und dabei bewährte Angriffsmuster beibehält, während sie gleichzeitig ihre Werkzeuge und Techniken weiterentwickelt.