Mercado Digital

Grupo Salt Typhoon explora falha em Citrix e usa malware Snappybee contra operadora europeia

vendasmulti351@gmail.com
vendasmulti351@gmail.com
2 Leitura mínima

Uma operadora de telecomunicações da Europa foi alvo, na primeira semana de julho de 2025, de um ataque atribuído ao grupo de espionagem cibernética Salt Typhoon, apontado por especialistas como ligado à China.

Índice de Conteúdo

De acordo com a empresa de segurança Darktrace, os invasores aproveitaram uma vulnerabilidade em um appliance Citrix NetScaler Gateway para obter acesso inicial ao ambiente da vítima. A partir desse ponto, o grupo avançou para hosts Citrix Virtual Delivery Agent (VDA) dentro da sub-rede Machine Creation Services (MCS) e recorreu ao SoftEther VPN para mascarar a origem do tráfego.

Malware Snappybee entregue por DLL side-loading

Durante a ofensiva, os atacantes implantaram o Snappybee — também conhecido como Deed RAT — considerado sucessor do ShadowPad (PoisonPlug) e já usado em campanhas anteriores do Salt Typhoon. O carregamento do código malicioso ocorreu por meio de DLL side-loading, técnica na qual bibliotecas maliciosas são executadas em conjunto com arquivos legítimos.

Nesse caso, o backdoor foi distribuído junto de executáveis autênticos de antivírus como Norton Antivirus, Bkav Antivirus e IObit Malware Fighter. Uma vez ativo, o Snappybee tentava se comunicar com o servidor externo “aar.gandhibludtric[.]com” via HTTP e por um protocolo TCP não identificado.

Histórico do Salt Typhoon

Ativo desde 2019 e também chamado de Earth Estries, FamousSparrow, GhostEmperor e UNC5807, o Salt Typhoon ganhou notoriedade por explorar falhas em dispositivos de borda, manter persistência prolongada e exfiltrar dados sensíveis. Segundo a Darktrace, suas operações já afetaram organizações de telecomunicações, redes de energia e sistemas governamentais em mais de 80 países na América do Norte, Europa, Oriente Médio e África.

Grupo Salt Typhoon explora falha em Citrix e usa malware Snappybee contra operadora europeia - Imagem do artigo

Imagem: Internet

Na tentativa recente contra a operadora europeia, a atividade foi detectada e contida antes de causar danos maiores, informou a Darktrace. “O Salt Typhoon continua desafiando os defensores com sua furtividade, persistência e uso indevido de ferramentas legítimas”, apontou a empresa, acrescentando que táticas em constante evolução dificultam a detecção por métodos convencionais.

Com informações de The Hacker News

Git Merge 2025 celebra 20 anos do Git com dois dias de debates na sede do GitHub
Google detecta três novas famílias de malware associadas ao grupo russo COLDRIVER
GitHub Copilot e agentes de IA aceleram modernização de sistemas COBOL, aponta Microsoft
GitHub lança registro unificado para instalação e gestão de servidores MCP
Grupo estatal utiliza novo malware Airstalk em provável ataque de cadeia de suprimentos
Compartilhe este artigo
Artigo anterior TCL apresenta no Brasil o ar-condicionado FreshIN 3.0 com renovação ativa de ar
Próximo Artigo Git Merge 2025 celebra 20 anos do Git com dois dias de debates na sede do GitHub

Esteja Conectado

HTV9 Dispositivo Multimídia Inteligente

Últimas Notícias

Cadeira para Jogar por Horas Sem Dor: Cinesis Xtreme é a Cadeira Giratória Reclinável Definitiva em Cadeiras para Games
Cinesis Xtreme é a Cadeira Giratória Reclinável Definitiva em Cadeiras para Games
Cadeiras Gamer Ergonômicas
Kit 2 Poltronas Shine: Poltrona Para Sala de Estar Moderna
Kit 2 Poltronas Shine: Poltrona Para Sala de Estar Moderna.
Cadeiras Decorativas
Fábricas chinesas adotam IA para vigiar expressões faciais e rendimento de trabalhadores
Hardware e Periféricos
RedMagic ironiza câmeras saltadas e “achata” iPhone 17 Pro em vídeo promocional
Hardware e Periféricos

You Might also Like