據稱，一家歐洲電信組織已成為與中國有關的網路間諜組織「鹽颱風」結盟的威脅行為者的目標。根據 Darktrace 的數據，該組織在 2025 年 7 月的第一周成為攻擊目標，攻擊者利用 Citrix NetScaler Gateway 設備取得初始存取權限。

這次鎖定歐洲電信巨頭的網路間諜事件，展現了與中國相關的高級持續性威脅（APT）組織「鹽颱風」（Salt Typhoon），又名 Earth Estries、FamousSparrow、GhostEmperor 和 UNC5807，其高超的技術能力和針對關鍵基礎設施的持續興趣。該組織自 2019 年以來一直活躍，並以擅長利用邊緣設備的安全漏洞、維持深層持久性以及從全球 80 多個國家（包括北美、歐洲、中東和非洲）的受害者那裡竊取敏感數據而聞名。

在針對歐洲電信實體的事件中，攻擊者利用立足點轉向用戶端機器創建服務 (MCS) 子網路中的 Citrix 虛擬交付代理程式 (VDA) 主機，同時也使用 SoftEther VPN 來掩蓋其真實來源。透過濫用 Citrix NetScaler Gateway 設備的已知或未知漏洞取得初步突破後，攻擊者迅速進行橫向移動，將目標轉向電信網路內部具備高度存取權限的 VDA 主機。使用 SoftEther VPN 進行通訊，是為了對其指揮與控制（C2）活動進行加密和混淆，使其在網路流量分析中難以被偵測和追蹤，展現了攻擊者對隱密性的高度重視。

這次攻擊中傳播的惡意軟體家族之一是 Snappybee（又稱 Deed RAT），它疑似是 ShadowPad（又名 PoisonPlug）惡意軟體的繼承者。Snappybee 是一種遠端存取木馬（RAT），在 Salt Typhoon 先前的攻擊中，通常會部署 ShadowPad 惡意軟體。Snappybee 惡意軟體是透過一種稱為 DLL 側載（DLL side-loading）的技術被引入系統。這種技術在許多中國駭客組織中被廣泛採用多年。具體而言，這個後門程式是以 DLL 檔案的形式，與合法的防毒軟體可執行檔案一起被投放到內部端點上，例如 Norton Antivirus、Bkav Antivirus 和 IObit Malware Fighter 的檔案。這種活動模式表明攻擊者依賴透過合法防毒軟體執行 DLL 側載來執行他們的惡意酬載。Snappybee 惡意軟體的設計會透過 HTTP 和一個未識別的基於 TCP 的協定聯繫外部伺服器（“aar.gandhibludtric[.]com”），用於接收指令和外洩數據。

Darktrace 指出，幸運的是，這次入侵活動在進一步升級之前就被識別並修復，避免了更嚴重的後果。然而，這次事件再次突顯了 Salt Typhoon 組織對防禦者構成的嚴峻挑戰。

Darktrace 補充說：「Salt Typhoon 憑藉其隱密性、持久性和對合法工具的濫用，持續挑戰防御者。Salt Typhoon 的技術手段不斷演變，其重新利用可信軟體和基礎設施的能力，確保了其仍然難以僅憑常規方法進行檢測。」這意味著防禦者不能僅依賴傳統的簽章式或黑名單式偵測方法，必須轉向更具智慧的行為分析和異常偵測系統，才能有效對抗這種不斷進化的 APT 威脅。這次攻擊是對電信業及所有關鍵基礎設施運營商的一次重要警示，強調了對邊緣設備漏洞的及時修補和對內部網路異常行為的持續監控至關重要。

資料來源：https://thehackernews.com/2025/10/hackers-used-snappybee-malware-and.html