EE. UU., Asia y ahora Europa
La agrupación Salt Typhoon, vinculada con el gobierno de China, volvió a estar en el punto de mira tras el descubrimiento de un ciberataque contra una empresa de telecomunicaciones europea. Así lo informaron los analistas de Darktrace, señalando que las acciones de los atacantes coinciden con las tácticas típicas utilizadas anteriormente por ese grupo contra operadores de Estados Unidos y Asia. Salt Typhoon es conocida como una de las estructuras de ciberespionaje más antiguas, activa desde 2019. Sus miembros se especializan en explotar dispositivos de red vulnerables, crear canales de mando ocultos y extraer datos confidenciales de infraestructuras en más de 80 países.
Según Darktrace, la intrusión en la empresa europea ocurrió la primera semana de julio de 2025. Para el acceso inicial, los atacantes aprovecharon una falla en el gateway Citrix NetScaler Gateway. Los investigadores no especifican un identificador concreto, pero en el momento del ataque coincidió con una serie de parches publicados por Citrix en junio y agosto. Entre ellos figuraban las vulnerabilidades críticas CVE-2025-5349, CVE-2025-5777, conocida no oficialmente como CitrixBleed 2, así como CVE-2025-6543, CVE-2025-7775, CVE-2025-7776 y CVE-2025-8424. Estas fallas permitían obtener acceso remoto sin autenticación y cargar web shells en dispositivos no protegidos.
Tras comprometer el gateway, los atacantes se desplazaron a la subred Machine Creation Services, donde se alojan los hosts Citrix Virtual Delivery Agent. La primera actividad procedía de un nodo que supuestamente usaba el servicio SoftEther VPN, lo que indica una intención de ocultar la infraestructura. En los servidores comprometidos se instaló el troyano modular SNAPPYBEE (también conocido como Deed RAT), que proporciona control remoto. Darktrace subraya que el ataque fue detectado y neutralizado antes de que los atacantes pudieran afianzarse en la red de la empresa.
Para entregar el troyano, los miembros del grupo emplearon DLL Sideloading — una técnica común para ejecutar código malicioso de manera encubierta. Se basa en que una aplicación legítima carga por error una biblioteca DLL suplantada y ejecuta el código insertado en ella. En este caso, el módulo malicioso se hacía pasar por componentes de los antivirus Norton Antivirus, Bkav Antivirus e IObit Malware Fighter. Este método permitía ejecutar comandos en un contexto de confianza y eludir los mecanismos de protección.
El canal de mando establecido (C2) utilizó la infraestructura LightNode VPS y operó tanto por HTTP como mediante un protocolo TCP no estándar. Los investigadores registraron que los sistemas infectados se comunicaron con el dominio aar.gandhibludtric[.]com (38.54.63[.]75), que anteriormente había sido vinculado a Salt Typhoon por especialistas de la empresa Silent Push. Por el conjunto de indicios —desde coincidencias en tácticas e instrumentos hasta un estilo idéntico de despliegue de infraestructura— Darktrace atribuye con moderada confianza el incidente al grupo Salt Typhoon, también conocido bajo los nombres Earth Estries, GhostEmperor y UNC2286. Según la empresa, el ataque fue detenido en una fase temprana y no provocó filtración de datos.
Salt Typhoon se hizo ampliamente conocida por primera vez en 2024, cuando el FBI informó sobre ataques a gran escala de este grupo contra empresas de telecomunicaciones de Estados Unidos. Entonces los atacantes obtuvieron metadatos de llamadas y otra información que abarcaba a casi todos los usuarios estadounidenses de redes móviles. La nueva actividad en Europa confirma que el grupo sigue siendo una de las estructuras chinas de ciberespionaje más persistentes y tecnológicamente dotadas, orientadas al control a largo plazo de las redes de comunicaciones.