Netcrook Logo
👤 CIPHERWARDEN
🗓️ 22 Oct 2025   🗂️ Threats    

Operazione Snappybee: Come gli Hacker Hanno Sfruttato le Vulnerabilità Citrix e Malware Invisibili per Infiltrarsi nelle Telecomunicazioni Europee

In una sofisticata campagna di cyber-spionaggio, un gruppo legato alla Cina ha sfruttato una vulnerabilità Citrix e un malware furtivo per violare una delle principali reti di telecomunicazioni europee.

In Breve

  • Gli aggressori hanno sfruttato una falla nel Citrix NetScaler Gateway per ottenere l’accesso iniziale.
  • Il malware Snappybee (noto anche come Deed RAT) è stato distribuito camuffato da software antivirus.
  • Il gruppo responsabile dell’attacco, Salt Typhoon, è un noto attore di spionaggio legato alla Cina.
  • SoftEther VPN è stato utilizzato per mascherare la reale posizione degli hacker.
  • Darktrace ha rilevato e fermato l’intrusione prima che si verificassero danni gravi.

La Scena: Un Colpo Digitale in Corso

Immaginate un centro nevralgico delle telecomunicazioni sicuro, che lavora silenziosamente, fili invisibili che pulsano con le comunicazioni del continente. Improvvisamente, all’inizio di luglio 2025, mani invisibili si insinuano attraverso una crepa digitale - una falla trascurata in un gateway Citrix. Gli avversari si muovono con precisione chirurgica, le loro tracce mascherate, le intenzioni nascoste. Gli aggressori sono Salt Typhoon, un gruppo di cyber-spionaggio che gli analisti hanno collegato alla Cina. Il loro obiettivo: non solo i dati, ma l’infrastruttura stessa che tiene l’Europa in comunicazione.

L’Impronta Globale di Salt Typhoon

Salt Typhoon - conosciuto anche come Earth Estries, FamousSparrow, GhostEmperor e UNC5807 - è sotto osservazione almeno dal 2019. Con una reputazione per lo sfruttamento di dispositivi esposti su Internet e una notevole persistenza, ha preso di mira oltre 80 paesi, inclusi settori critici come telecomunicazioni, energia e governo. I loro attacchi del 2024 alle reti energetiche e ai sistemi governativi statunitensi hanno fatto notizia a livello globale, ma il loro marchio di fabbrica è la furtività: utilizzano strumenti legittimi e software affidabili, rendendo la rilevazione simile a cercare un fantasma nella macchina.

L’Anatomia della Violazione

In quest’ultimo episodio, Salt Typhoon ha sfruttato una debolezza nel Citrix NetScaler Gateway - un dispositivo di frontiera che collega gli utenti remoti alle reti interne. Una volta all’interno, si sono mossi silenziosamente più in profondità, passando agli host Citrix Virtual Delivery Agent all’interno dell’infrastruttura della telecom. Per nascondere le proprie tracce, hanno incanalato il traffico attraverso SoftEther VPN, uno strumento che maschera l’attività Internet come un mantello dell’invisibilità digitale.

La vera arma degli hacker era Snappybee, un malware backdoor ritenuto il successore di ShadowPad - già tristemente noto in precedenti campagne di spionaggio cinesi. Ma invece di forzare brutalmente l’accesso, hanno usato il DLL side-loading: hanno inserito il loro codice malevolo accanto a programmi antivirus legittimi, come Norton o IObit, così da sembrare innocui. È l’equivalente informatico di nascondere merce di contrabbando in un’auto della polizia.

Il compito di Snappybee era aprire un canale segreto verso un server di comando, pronto a esfiltrare dati sensibili. Fortunatamente, i sistemi di rilevamento di Darktrace hanno individuato irregolarità prima che gli aggressori potessero radicarsi più a fondo, permettendo ai difensori di espellerli prima che si verificassero danni seri.

Il Quadro Generale: Spionaggio nell’Era della Fiducia

Questo attacco fa parte di una tendenza più ampia: attori malevoli che sfruttano software affidabili e vulnerabilità note in strumenti di uso quotidiano. La violazione delle telecomunicazioni europee è un inquietante promemoria di come oggi gli aggressori trasformino in armi proprio i sistemi pensati per proteggerci e tenerci connessi. Con le tensioni geopolitiche in aumento e le infrastrutture digitali sempre più vitali, i difensori si trovano in un gioco senza tregua di gatto e topo contro avversari che affinano costantemente le proprie tecniche.

Man mano che Salt Typhoon e gruppi simili continuano a evolversi, il confine tra attività legittima e malevola si fa sempre più labile. Per i difensori, vigilanza e innovazione non sono più opzionali - sono l’unico modo per tenere accesi i corridoi digitali d’Europa.

WIKICROOK

  • Citrix NetScaler Gateway: Citrix NetScaler Gateway consente agli utenti remoti di connettersi in modo sicuro alle reti aziendali, utilizzando crittografia e autenticazione per proteggere i dati sensibili.
  • DLL Side: DLL Side è una tecnica in cui gli aggressori inducono i programmi a caricare file DLL malevoli, aggirando la sicurezza e ottenendo accesso o controllo non autorizzato.
  • Backdoor Malware: Il malware backdoor è un software nascosto che consente agli hacker di accedere e controllare da remoto un sistema, bypassando le protezioni di sicurezza standard.
  • Advanced Persistent Threat (APT): Una Advanced Persistent Threat (APT) è un attacco informatico prolungato e mirato da parte di gruppi esperti, spesso sostenuti da stati, con l’obiettivo di rubare dati o interrompere operazioni.
  • VPN (Virtual Private Network): Una VPN cripta la tua connessione Internet e nasconde il tuo indirizzo IP, offrendo maggiore privacy e sicurezza durante la navigazione online o l’uso di Wi-Fi pubblici.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news