O Salt Typhoon é um grupo de ameaça persistente avançada (APT) vinculado à China que está entre as operações de ciberespionagem mais sofisticadas contra a infraestrutura crítica global. Também rastreado como Earth Estries, GhostEmperor e UNC2286, o grupo já promoveu ataques de alto impacto em provedores de telecomunicações, redes de energia e sistemas governamentais em mais de 80 países.
O ator de ameaça utiliza exploits de zero-day em dispositivos de borda, como Ivanti, Fortinet e Cisco, para obter acesso inicial. Ao mesmo tempo, emprega técnicas de sideloading de DLL para manter a furtividade e evitar mecanismos tradicionais de detecção por assinatura. Intrusões recentes mostram a capacidade do grupo em comprometer sistemas de interceptação legal e exfiltrar metadados de milhões de usuários.
Como operações do Salt Typhoon mistura coleta de inteligência com influência geopolítica, evidenciando o caráter estratégico de campanhas patrocinadas pelo Estado.
Acesso inicial e entrega na rede
Pesquisadores da DarkTrace identificaram atividade de intrusão em uma organização de telecomunicações europeia em julho de 2025, com táticas consistentes com os procedimentos conhecidos do grupo. O ataque começou com a exploração de uma vulnerabilidade no Citrix NetScaler Gateway, permitindo que o invasor se movimentasse para hosts Citrix Virtual Delivery Agent na sub-rede interna. O acesso inicial partiu de uma infraestrutura ligada ao serviço SoftEther VPN, demonstrando ofuscação desde o início.
Mecanismos de sideload e persistência de DLL
A sofisticação técnica do Salt Typhoon fica clara pelo abuso sistemático de softwares legítimos para fins maliciosos. Pesquisadores observaram a entrega do backdoor SNAPPYBEE (também conhecido como Deed RAT) em múltiplos endpoints internos como arquivos DLL acompanhados de subtítulos de proteção confidenciais. O grupo mirou especialmente novos do Norton Antivirus, Bkav Antivirus e IObit Malware Fighter para facilitar as operações de sideload de DLL.
Essa técnica permitiu executar cargas maliciosas sob a aparência de softwares de segurança reconhecidos, driblando controles tradicionais de proteção.
O backdoor distribui comunicações de comando e controle por meio de endpoints LightNode VPS, usando tanto HTTP quanto um protocolo TCP não identificado. As comunicações HTTP incluíram solicitações POST com padrões exclusivos de URI, como “/17ABE7F017ABE7F0”, conectando ao domínio aar.gandhibludtric(.)com (38.54.63(.)75), recentemente vinculado à infraestrutura do Salt Typhoon.
