Hakerzy wykorzystali SnappyBee (Deed RAT) i lukę w Citrix NetScaler do ataku na europejskiego operatora telekomunikacyjnego - Security Bez Tabu

Hakerzy wykorzystali SnappyBee (Deed RAT) i lukę w Citrix NetScaler do ataku na europejskiego operatora telekomunikacyjnego

Wprowadzenie do problemu / definicja luki

Na początku lipca 2025 r. europejski dostawca usług telekomunikacyjnych został zaatakowany przez aktora powiązanego z Chinami, śledzonego jako Salt Typhoon (aka Earth Estries / FamousSparrow / GhostEmperor / UNC5807/UNC2286). Wektor wejścia stanowił Citrix NetScaler Gateway (dawniej ADC/Gateway), a po uzyskaniu przyczółka napastnicy przeszli na hosty Citrix Virtual Delivery Agent (VDA) w segmencie Machine Creation Services (MCS). W dalszej fazie zastosowano DLL sideloading z wykorzystaniem podpisanych plików znanego oprogramowania AV oraz wdrożono backdoora SnappyBee (Deed RAT) – uważanego za następcę ShadowPad. Incydent wykryto i zneutralizowano we wczesnym etapie.

W skrócie

  • Aktor: Salt Typhoon (chińska grupa APT ukierunkowana na telekomy i infrastrukturę krytyczną).
  • Wejście: eksploatacja urządzenia Citrix NetScaler Gateway i pivot do hostów Citrix VDA (MCS).
  • Ukrycie: ruch przez SoftEther VPN oraz DLL sideloading na bazie legalnych plików AV (Norton, Bkav, IObit).
  • Malware: SnappyBee/Deed RAT – łańcuch pokrewieństwa do ShadowPad.
  • C2: kontakt z aar.gandhibludtric[.]com (HTTP i niestandardowy TCP).

Kontekst / historia / powiązania

Salt Typhoon od 2019 r. prowadzi długotrwałe kampanie cyberszpiegowskie wobec operatorów telekomunikacyjnych, administracji i sektora energii – na wielu kontynentach. W latach 2024–2025 szereg doniesień (m.in. Reuters) wskazywał na skoordynowane włamania do sieci telekomów w USA i innych krajach, o dużej głębokości utrzymania się w środowiskach ofiar. Amerykańskie instytucje publiczne publikowały ostrzeżenia i środki zaradcze wobec działań aktorów sponsorowanych przez władze ChRL.

Trend Micro profiluje „Earth Estries” jako grupę o bogatym arsenale – od SnappyBee (Deed RAT) po inne niestandardowe implanty – oraz stałej preferencji do utrzymywania się w sieciach telekomunikacyjnych przez długie okresy.

Analiza techniczna / szczegóły luki

Wejście i pivot:

  • Eksploatacja bramy Citrix NetScaler Gateway → ruch atakującego widoczny z zasobów powiązanych z SoftEther VPN (maskowanie pochodzenia).
  • Później pivot do hostów Citrix VDA w podsieci MCS – logiczny krok po przejęciu bramy dostępowej w środowiskach wirtualnych pulpitów.

Egzekucja i ukrywanie (Defense Evasion):

  • DLL sideloading: dostarczenie złośliwych bibliotek w pakiecie z legalnymi EXE antywirusów (Norton AV, Bkav AV, IObit Malware Fighter). To znana technika wielu chińskojęzycznych grup – pozwala ominąć kontrole aplikacji i EDR bazujące na reputacji.

Backdoor / ładunek:

  • SnappyBee (aka Deed RAT) – opisywany jako następca modularnego ShadowPad. Umożliwia zdalne sterowanie, eksfiltrację i rozbudowę funkcji. W innych kampaniach obserwowano rozwinięte „linie rodowe”, np. BLOODALCHEMY jako warianty Deed RAT.

C2 i łączność:

  • Observed C2: aar.gandhibludtric[.]com (HTTP + nieokreślony protokół TCP). Sugeruje hybrydowy model komunikacji i próby mieszania się z ruchem webowym.

Techniki MITRE ATT&CK (mapowanie przykładowe):

  • Initial Access: Exploiting Public-Facing Application (T1190) – urządzenia brzegowe.
  • Defense Evasion/Execution: DLL Search Order Hijacking (T1574.001), Signed Binary Proxy Execution (T1218).
  • Command and Control: Application Layer Protocol – Web Protocols (T1071.001), Non-Standard Port (T1571).
    (Uzasadnienie na bazie opisu Darktrace i zgodności z wcześniejszymi TTP Earth Estries).

Praktyczne konsekwencje / ryzyko

  • Telekomy jako cel o wysokiej wartości: przejęcie bramy zdalnego dostępu (NetScaler) i pivot do VDI zwiększa ryzyko dostępu do systemów OSS/BSS, podsłuchu, danych abonentów, a nawet ruchu sygnalizacyjnego. Globalne doniesienia z 2024–2025 r. potwierdzają, że Salt Typhoon potrafi osiągać głęboki poziom uprzywilejowania i długą obecność.
  • DLL sideloading przez „zaufane” EXE: utrudnia detekcję opartą o reputację i listy zaufanych wydawców – ryzyko false negative w EDR bez silnej telemetrii modułów ładowanych do procesu.
  • SoftEther i inne kanały maskujące: komplikują śledzenie źródeł i korelację zdarzeń na brzegu sieci.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowy przegląd i hardening NetScaler/NetScaler Gateway
    • Upewnij się, że bramy są na najnowszych wersjach i że konfiguracje AAA/Gateway są zgodne z zaleceniami producenta.
    • Włącz nacisk na monitoring anomalii w ruchu do/od urządzeń brzegowych (szczególnie HTTP(S) do nietypowych hostów).
    • Zestaw kontrolek dla Citrix VDA/MCS: ograniczenie lateral movement (mikrosegmentacja, ACL, firewall hostowy).
      (Ogólne zalecenia wynikają z opisu wektora w raporcie Darktrace i ostrzeżeń instytucji dot. PRC aktorów).
  2. Polityki anty-sideloading i „living off trusted binaries”
    • Block/Allow-list na poziomie DLL search order i ścieżek ładowania bibliotek dla aplikacji krytycznych (w tym AV).
    • W EDR/XDR twórz reguły detekcyjne dla: signed EXE + niepodpisany/nieznany DLL w katalogu aplikacji, nieoczekiwane moduły w procesach AV.
  3. Myśli przewodnie dla detekcji C2
    • Reguły na nietypowe domeny oraz C2 over HTTP + nietypowy TCP; korelacja z danymi DNS/SSL SNI (np. „aar.gandhibludtric[.]com”).
    • Uważna inspekcja tuneli VPN typu SoftEther i innych user-space VPN.
  4. Higiena tożsamości i segmentacja
    • MFA, rotacja haseł uprzywilejowanych, Just-In-Time dostępy dla adminów VDI/VDA, tiering kont i serwerów.
    • Mikrosegmentacja podsieci VDI/MCS oraz ograniczenia RDP/SMB z bramy do VDA tylko wg zasady najmniejszych uprawnień.
  5. Ćwiczenia IR + playbook pod APT
    • Scenariusz: kompromitacja urządzenia brzegowego + pivot do VDI + DLL sideloading.
    • Włącz w playbook pre-collection artefaktów: listy załadowanych modułów, ścieżki DLL, telemetry z NetScaler/Gateway i VDA.

Różnice / porównania z innymi przypadkami (telekomy 2024–2025)

W porównaniu do ujawnionych w 2024–2025 r. kampanii Salt Typhoon przeciwko telekomom w USA (AT&T, Verizon i inni), obecny przypadek z UE pokazuje zbliżony modus operandi: wejście przez urządzenia brzegowe, długotrwałość, nacisk na ukrycie i pozyskiwanie danych o wysokiej wartości. Elementem wyróżniającym jest udokumentowane użycie SnappyBee/Deed RAT dostarczanego przez DLL sideloading na bazie plików AV, co Darktrace opisuje bardzo konkretnie dla tej operacji.

Podsumowanie / kluczowe wnioski

  • Salt Typhoon pozostaje jednym z najgroźniejszych aktorów dla telekomów – atakuje edge (Citrix), szybko pivotuje do VDI i utrzymuje się dzięki sideloadingowi i niestandardowym backdoorom (SnappyBee/Deed RAT).
  • Nawet podpisane i „zaufane” binaria (AV) mogą stać się nośnikiem ładunków – procesy AV trzeba monitorować jak aplikacje wysokiego ryzyka.
  • Obrona wymaga twardych aktualizacji Citrix, telemetrii DLL, dyscypliny segmentacyjnej w VDI/MCS oraz analityki C2. Zalecenia CISA dot. aktorów państwowych wspierają takie podejście.

Źródła / bibliografia

  1. Darktrace – opis incydentu i TTP: „Darktrace’s view on a recent Salt Typhoon intrusion” (opublikowano 20 października 2025). (darktrace.com)
  2. The Hacker News – „Hackers Used Snappybee Malware and Citrix Flaw to Breach European Telecom Network” (21 października 2025). (The Hacker News)
  3. Trend Micro – „Breaking Down Earth Estries’ Persistent TTPs in Prolonged Cyber Operations” (8 listopada 2024) – kontekst SnappyBee/Deed RAT i Earth Estries. (www.trendmicro.com)
  4. CISA – „Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide” (3 września 2025) – zalecenia strategiczne dot. aktorów PRC. (CISA)
  5. Reuters – „AT&T, Verizon targeted by Salt Typhoon…” (29 grudnia 2024) – tło i skala kampanii na telekomy. (Reuters)