Secondo un nuovo report di Darktrace, il gruppo di spionaggio cinese conosciuto come Salt Typhoon avrebbe condotto un attacco mirato contro una grande azienda europea del settore delle telecomunicazioni, utilizzando tecniche sofisticate già viste in operazioni precedenti contro operatori statunitensi. L’incidente non rappresenta un semplice episodio isolato, ma la conferma di una strategia sistemica che punta al controllo di infrastrutture digitali critiche, osservate da Pechino come asset strategici in uno scenario geopolitico sempre più teso.

Salt Typhoon, attribuito alla Repubblica Popolare Cinese, è attivo almeno dal 2019 e opera con una logica da “cyber esercito fantasma”, intesa a penetrare reti ad alto valore informativo, mantenere un accesso occulto per periodi prolungati e sottrarre dati sensibili aggirando i sistemi di rilevamento tradizionali. Secondo un alto funzionario dell’FBI, questo gruppo avrebbe già compromesso metadati e comunicazioni di “quasi ogni cittadino americano”. Oggi, l’attacco alla telco europea segna un salto di qualità nelle ambizioni geopolitiche di Pechino, indicando come le reti di telecomunicazione non siano semplici infrastrutture commerciali, ma veri snodi di potere.

L’elemento più inquietante dell’attacco è la modalità di accesso iniziale, ottenuta sfruttando una vulnerabilità nelle appliance Citrix NetScaler Gateway. Darktrace non ha indicato con precisione quale vulnerabilità sia stata utilizzata, ma Citrix ha trascorso tutta l’estate a correggere falle critiche come CVE-2025-5777 e CVE-2025-7775 (quest’ultima soprannominata CitrixBleed 3), che permettevano esecuzione di codice da remoto senza autenticazione. Le tempistiche suggeriscono che Salt Typhoon abbia agito nel breve periodo tra la scoperta della vulnerabilità e l’applicazione completa delle patch, dimostrando un livello di reattività tipico di gruppi sponsorizzati da stati-nazione dotati di risorse e capacità di intelligence avanzate.

Una volta penetrati nella rete, gli attaccanti hanno compromesso i nodi Citrix Virtual Delivery Agent e utilizzando un endpoint legato a un servizio VPN SoftEther per celare la propria origine. Questa strategia di infrastructure obfuscation sin dall’inizio dell’operazione è un tratto distintivo di Salt Typhoon, che si affida a infrastrutture proxy multilivello e server VPS situati in diverse giurisdizioni per rendere impossibile l’attribuzione diretta.

Darktrace Salt Typhoon

L’arma principale dell’attacco è stata l’installazione del malware modulare SNAPPYBEE (conosciuto anche come Deed RAT), una backdoor già nota agli analisti come uno degli strumenti preferiti del gruppo. L’evoluzione tecnica dell’operazione si è manifestata nell’utilizzo della tecnica di DLL sideloading, una forma di attacco estremamente insidiosa che sfrutta l’esecuzione di DLL malevole caricate da software legittimi (in questo caso antivirus noti come Norton e Bkav). In altre parole, gli attaccanti hanno rivestito il malware di una “maschera” affidabile, inserendolo nei processi di programmi progettati per proteggere la rete e non per comprometterla.

Il comando e controllo dell’operazione è stato gestito attraverso server LightNode VPS con comunicazioni sia HTTP che su protocolli TCP proprietari, un ulteriore livello di offuscamento che consente di eludere i sistemi di intrusion detection basati su pattern conosciuti. È stato identificato anche un dominio di comando e controllo, aar.gandhibludtric[.]com, già attribuito a Salt Typhoon dalla threat intelligence internazionale.

Secondo Darktrace, l’intrusione è stata identificata e contenuta nelle sue fasi iniziali impedendo così all’attacco di evolversi verso l’esfiltrazione di massa dei dati, ma il fatto che il vettore principale sia stato un dispositivo edge, ovvero una componente esposta ai confini della rete aziendale, evidenzia come i confini digitali dell’Europa siano tutt’altro che impermeabili.

L’interesse strategico per le telecomunicazioni europee non è difficile da comprendere. Le reti telco rappresentano infatti il nervo centrale delle comunicazioni governative, militari e industriali. Compromettere un operatore significa potenzialmente ascoltare traffico sensibile, ottenere metadati utili per operazioni di spionaggio industriale o di sorveglianza geopolitica e, nei casi più estremi, predisporre capacità di sabotaggio digitale.

(Immagine in apertura: Shutterstock)