Beobachtungen
Das IT-Sicherheitsunternehmen Darktrace berichtete, dass Salt Typhoon bereits im Juli 2025 eine Schwachstelle im Citrix NetScaler Gateway ausnutzte, um sich Zugang in das Netzwerk eines europäischen Telekommunikationsanbieters zu verschaffen.
Methoden
Die Angreifer nutzen die Schwachstelle aus, um anschließend auf die Citrix Virtual Delivery Agents Hosts im Machine Creation Services (MCS) Subnetz des Clients zuzugreifen. Dabei verwenden sie SoftEther VPN, um ihre wahre Herkunft zu verschleiern. Nachdem die Angreifer Zugriff auf das (Sub-)Netz des Ziels erlangt haben, installieren sie die Malware Snappybee (auch bekannt als Deed RAT). Die Malware wird durch eine DLL-Sideloading-Technik ausgeführt. Anschließend kontaktiert sie per HTTP einen externen Server über ein unbekanntes auf TCP basierendes Protokoll.
Attribution
Bei Salt Typhoon handelt es sich um eine APT-Gruppierung mit Bezügen zur chinesischen Regierung. Die Gruppierung ist seit mindestens 2019 aktiv und bekannt für Angriffe auf Telekommunikationsanbieter, Energieversorger und Regierungseinrichtungen in Europa.Siehe hierzu auch unseren Sicherheitshinweis "Angriffe auf US-Provider wohl Teil einer größeren Kampagne" vom 29. November 2025.
Empfehlungen
Darktrace bietet auf ihrer Homepage einen vollständigen Bericht sowie IOCs an. Wir empfehlen daher allen Organisationen, die den Citrix NetScaler Gateway einsetzen, ihre Netze mithilfe der IOCs auf eine mögliche Betroffenheit zu überprüfen.