Salt Typhoon, auch bekannt als Earth Estries, FamousSparrow, GhostEmperor und UNC2286, gilt als eine der aggressivsten chinesischen APT-Gruppen. Laut Bitdefender wurde der Einbruch mit mittlerer bis hoher Sicherheit der Gruppe zugeschrieben. Hintergrund der Zielwahl ist nach Einschätzung der Forscher, dass Aserbaidschan nach dem Auslaufen des russischen Gastransitabkommens mit der Ukraine und den jüngsten Störungen in der Straße von Hormus zu einem strategischen Energiepartner europäischer Länder geworden ist.
Der Angriff begann mit der Ausnutzung einer Schwachstelle in Microsoft Exchange. Im Dezember nutzten die Angreifer die ProxyNotShell-Exploit-Kette zur Codeausführung auf Exchange-Servern, brachten Web-Shells als Einstiegspunkt ein und installierten anschließend über eine überarbeitete DLL-Sideloading-Technik die Schadsoftware Deed RAT.
Die Backdoor versteckten sie in einem Ordner, der die legitime Installation von LogMeIn Hamachi nachahmte; die dauerhafte Verankerung erfolgte über einen als LogMeIn Hamachi getarnten Dienst, der beim Systemstart ausgeführt wurde. Nach der Kompromittierung des ersten Rechners griffen die Angreifer über RDP auf einen zweiten Server zu, meldeten sich an einem Administratorkonto an und setzten erneut Deed RAT ein. Mit Impacket-Werkzeugen kompromittierten sie danach einen dritten Rechner.
Einen Monat später, nachdem die Schadsoftware von mindestens einem Rechner entfernt worden war, kehrten die Angreifer auf den ursprünglich kompromittierten Server zurück und installierten die Backdoor TernDoor, die von den Talos-Sicherheitsforschern von Cisco mit Salt Typhoon in Verbindung gebracht wurde. Ende Februar verschafften sie sich erneut Zugang und versuchten, Deed RAT über dieselbe Ausführungskette neu einzuspielen. Bitdefender wertet den Vorfall nicht als isolierten Einbruch, sondern als anhaltende, anpassungsfähige Operation, bei der derselbe Zugangsweg wiederholt genutzt, neue Schadlasten eingeführt und zusätzliche Fußpunkte geschaffen wurden.
Die zweite Kampagne führt Darktrace auf Twill Typhoon zurück, auch bekannt als Bronze President, Camaro Dragon, Earth Preta, Mustang Panda und TA416. Mehrere infizierte Rechner riefen Domains auf, die Content-Delivery-Netzwerke wie Yahoo- und Apple-Dienste imitierten, und luden legitime Binärdateien zusammen mit passenden Konfigurationsdateien und schädlichen DLLs herunter. Diese für China-nahe Kampagnen typische Abfolge mündet per DLL-Sideloading in der Ausführung eines neuen RAT-Frameworks namens FDMTP.
Bei den im September und Oktober beobachteten Angriffen luden die kompromittierten Rechner wiederholt eine DLL von denselben externen Hosts. Im April lud ein System im Netz einer Finanzorganisation eine legitime Binärdatei und rief danach wiederholt Konfigurationsdateien und DLL-Komponenten ab. Für die Ausführung nutzten die Angreifer Visual-Studio-Hosting und die legitime Windows-ClickOnce-Engine.
Die Hauptschadlast ist laut Darktrace ein modulares Framework, das verschiedene Plugins für seine Backdoor-Funktionen nutzt. Das RAT beherrscht unter anderem System-Fingerprinting, Befehlsausführung, die Manipulation von Windows-Aufgaben und -Prozessen, die Verankerung in der Registry sowie das Abrufen von Dateien und Befehlen. Die Angriffe stützten sich nicht auf einen einzigen Fußpunkt, sondern verteilten sich auf Komponenten, die unabhängig voneinander aktualisiert, ersetzt oder neu geladen werden können – ein Vorgehen, das Darktrace als typisch für die Taktik China-naher Akteure einordnet.