کمیته رکن چهارم– یک گروه سایبری وابسته به دولت چین، از طریق بهرهبرداری از یک آسیبپذیری در دستگاههای Citrix NetScaler Gateway و استفاده از بدافزار Snappybee، به شبکه یک نهاد مخابراتی در اروپا نفوذ کرده است.
به گزارش کمیته رکن چهارم، این حمله در هفته نخست ژوئیه ۲۰۲۵ صورت گرفته و گروه مهاجم که Salt Typhoon نام دارد، با استفاده از نقص امنیتی دستگاههای Citrix موفق به دسترسی اولیه به شبکه قربانی شده است. این گروه که از سال ۲۰۱۹ فعالیت خود را آغاز کرده، سابقه هدفگیری نهادهای دولتی، مخابراتی و زیرساختی در چندین کشور را در کارنامه دارد.
در این حمله، مهاجمان به زیرشبکههای مرتبط با سرویسهای Citrix Virtual Delivery Agent و Machine Creation Services دسترسی یافته و با کمک نرمافزار SoftEther VPN، موقعیت جغرافیایی خود را پنهان کردهاند. یکی از ابزارهای اصلی مورد استفاده آنها، بدافزار Snappybee بوده که با نام Deed RAT نیز شناخته میشود و از طریق تکنیک بارگذاری جانبی DLL در سیستمها اجرا شده است.
این بدافزار در قالب فایل DLL و همراه با فایلهای اجرایی معتبر آنتیویروسهایی مانند Norton و IObit به نقاط مختلف شبکه ارسال شده و ارتباط خود را از طریق پروتکلهای HTTP و TCP با یک سرور خارجی برقرار کرده است. شرکت امنیتی Darktrace که این حمله را شناسایی کرده، اعلام کرده پیش از گسترش بیشتر، موفق به مهار فعالیتهای مخرب شده است.
تحلیلگران تاکید کردهاند که تکنیکهای پنهانسازی و استفاده از ابزارهای قانونی توسط Salt Typhoon، شناسایی این گروه را برای مدافعان امنیت سایبری دشوارتر کرده و بر لزوم استفاده از روشهای پیشرفته برای مقابله با تهدیدهای مشابه تأکید دارند.
