گروه APT شناخته شده مرتبط با چین موسوم به Salt Typhoon، به حملات خود علیه سراسر جهان، از جمله سازمانهایی در بخشهای مخابرات، دولت، حمل و نقل، هتلداری و زیرساختهای نظامی ادامه داد.
طبق اطلاعیه مشترک NSA، NCSC و شرکایی از بیش از دوازده کشور، در حالی که این نفوذگران بر روترهای بزرگ ارائه دهندگان اصلی مخابرات و همچنین روترهای provider edge (PE) و customer edge (CE) تمرکز دارند، از دستگاههای آسیبپذیر و اتصالات قابل اعتماد نیز برای نفوذ به سایر شبکهها استفاده میکنند. این عوامل اغلب با دستکاری روترها، دسترسی مداوم و طولانی مدت به شبکهها را حفظ میکنند. گزارشها حاکی از آن است که این گروه هکری تمرکز خود را به سایر بخشها و مناطق گسترش داده و به حداقل ۶۰۰ سازمان، از جمله ۲۰۰ سازمان در ایالات متحده و ۸۰ کشور حمله کرده است. کمپینهای هک جهانی Salt Typhoon با سه شرکت فناوری مستقر در چین مرتبط هستند که محصولات و سرویسهای سایبری به وزارت امنیت کشور و ارتش آزادی بخش خلق چین ارائه کردهاند که امکان انجام عملیات جاسوسی سایبری تحت عنوان Salt Typhoon را فراهم میسازد.
Salt Typhoon، با فعالیتهایی تحت عناوین GhostEmperor، Operator Panda، RedMike و UNC5807، همپوشانی دارد، مشاهده شده که دسترسی اولیه را از طریق اکسپلویت از دستگاههای edge شبکه آسیبپذیر از جمله شناسههای CVE-2018-0171 (امتیاز 9.8، نقص RCE)، CVE-2023-20198 (امتیاز 10.0، نقص ارتقا سطح دسترسی)، CVE-2023-20273 (امتیاز 7.2، نقص عبور از احراز هویت) در Cisco و CVE-2024-21887 (امتیاز 9.1)، CVE-2023-46805 (امتیاز 8.2) در Ivanti و CVE-2024-3400 (امتیاز 10.0، نقص RCE) در Palo Alto Networks به دست میآورد. با این حال، نقصهای مذکور جامع نیستند و عوامل تهدید ممکن است به سایر دستگاهها مانند فایروالهای Fortinet، فایروالهای Juniper، Microsoft Exchange، روترها و سوئیچهای Nokia، دستگاههای Sierra Wireless و فایروالهای Sonicwall نیز برای دسترسی اولیه حمله کنند.
https://www.bleepingcomputer.com/news/security/global-salt-typhoon-hacking-campaigns-linked-to-chinese-tech-firms/
https://thehackernews.com/2025/08/salt-typhoon-exploits-cisco-ivanti-palo.html
