Eine Analyse von Darktrace zeigt, wie die APT-Gruppe Salt Typhoon mit Zero-Day-Exploits, DLL-Sideloading und verschleierter Kommunikation westliche Netze unterwandert. Der Fall verdeutlicht, warum klassische Abwehrmechanismen an ihre Grenzen stoßen.
APT-Angriffe wie Salt Typhoon operieren unauffällig im Netzwerk oft über Monate hinweg.
Im Juli 2025 wurde ein europäischer Telekommunikationsanbieter Ziel einer komplex orchestrierten Cyberoperation. Dank frühzeitiger Erkennung konnte der Angriff jedoch gestoppt werden, bevor es zu Schäden kam. Der Vorfall trug alle typischen Merkmale der chinesischen APT-Gruppe Salt Typhoon, die auch unter den Namen Earth Estries, GhostEmperor oder UNC2286 bekannt ist. Die Gruppe gilt als einer der technisch versiertesten Bedrohungsakteure weltweit und ist auf die langfristige Infiltration kritischer Infrastrukturen spezialisiert.
Die Gruppe verfolgt dabei kein kurzfristiges Ziel. Stattdessen geht es um persistente Zugänge: Netzwerke werden unauffällig infiltriert, Kommunikationsströme überwacht und Daten über längere Zeiträume exfiltriert. Dabei kommen sowohl maßgeschneiderte Malware als auch legitime Tools zum Einsatz, um Aktivitäten zu verschleiern.
Initialer Zugriff: Citrix-Zero-Day und VPN-Verschleierung
In diesem Fall begann die Kompromittierung über CVE-2025-5777, eine Schwachstelle in Citrix NetScaler Gateway Appliances. Die initiale Infrastruktur umfasste einen Client, der über SoftEther VPN verbunden war. SoftEther ermöglicht dynamisches Tunneling über HTTPS und erleichtert es Angreifern damit, klassische Perimeter-Schutzmechanismen zu umgehen.
Nach erfolgreicher Ausnutzung der Schwachstelle folgte rasch eine laterale Bewegung zu Citrix Virtual Delivery Agent Hosts (VDA) im MCS-Subnetz (Machine Creation Services). Diese Systeme verfügen in vielen Unternehmensumgebungen über weitreichende Berechtigungen, da sie dauerhaft mit VDI-Systemen oder Authentifizierungsdiensten interagieren. Die Kombination aus Zero-Day-Schwachstelle und legitimer VPN-Infrastruktur ermöglichte es den Angreifern, tief in das interne Netzwerk vorzudringen – nahezu ohne klassische Sicherheitsalarme auszulösen.
Malware-Verteilung über DLL-Sideloading
Die Malware – vermutlich die Backdoor SNAPPYBEE (auch bekannt als Deed RAT) – wurde nicht direkt ausgeführt, sondern über DLL-Sideloading eingebracht. Die Angreifer nutzten legitime Installer bekannter Antivirenprogramme wie Norton Antivirus, Bkav oder IObit Malware Fighter und platzierten manipulierte DLL-Dateien in den jeweiligen Installationsverzeichnissen.
Dieser klassische Hijack Execution Flow (MITRE T1574.001) ist besonders effektiv, da die Payload im Kontext eines vertrauenswürdigen Prozesses ausgeführt wird. Die Angreifer nutzten gezielt solche vertrauenswürdigen Prozesse zur Ausführung. In einigen Fällen kamen zudem Evasion-Techniken zum Einsatz, um Erkennung und Analyse zu erschweren.
Command-and-Control: Mehrkanalig mit Protokollverschleierung
Die Backdoor kommunizierte über eine duale C2-Architektur. Die HTTP-basierte Kommunikation erfolgte über manipulierte POST-Requests unter Verwendung von Internet-Explorer-User-Agents. Parallel dazu zeigten mehrere Hosts Hinweise auf ein proprietäres, nicht dokumentiertes Protokoll über nicht standardisierte TCP-Ports. Domains und IP-Adressen – darunter aar.gandhibludtric[.]com und 89.31.121[.]101 – sind aus früheren Kampagnen von Salt Typhoon bekannt und werden mit VPS-Anbietern wie LightNode in Verbindung gebracht.
Die Angreifer setzten auf verdeckte Techniken wie DLL-Sideloading und die Nutzung legitimer Binaries (LOLBins), um einer Erkennung zu entgehen. Auf einigen Systemen wurden Hinweise auf missbräuchliche PowerShell-Nutzung und WMI-basierte Aufklärungsaktivitäten festgestellt. Diese Verhaltensmuster wurden in Kombination mit der verdeckten C2-Kommunikation durch die verhaltensbasierte KI von Darktrace erkannt – ein Hinweis auf die Notwendigkeit domänenübergreifender Transparenz und adaptiver Verteidigungsansätze.
Anomalieerkennung in Echtzeit: Entdeckung durch Cyber AI Analyst
Trotz der ausgefeilten Tarnmechanismen wurde der Angriff frühzeitig erkannt – nicht durch Signaturen, sondern durch KI-gestützte Anomalieerkennung. Die Darktrace ActiveAI Security Platform registrierte ungewöhnliche Datei- und Netzwerkaktivitäten, darunter:
EXE- und DLL-Dateien mit inkonsistenten Erstellungszeitpunkten
verdächtige Registry-Änderungen durch neue Benutzerkonten
Diese Anomalien wurden automatisch durch den Darktrace Cyber AI Analyst miteinander verknüpft: Einzelereignisse wurden zu zusammenhängenden „Incidents“ konsolidiert, inklusive Zeitachsen, beteiligter Benutzer und betroffener Systeme. Die automatisierte Analyse reduzierte die Reaktionszeit des SOC erheblich und ermöglichte eine schnelle Isolation betroffener Hosts.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Salt Typhoon verdeutlicht die Grenzen traditioneller Verteidigungsstrategien. Signaturbasierte Systeme erkennen weder Sideloading-Techniken noch Zero-Day-Exploits. Isolierte Sicherheitslösungen – etwa getrennte Endpoint-, Netzwerk- oder Identity-Tools – liefern kein ganzheitliches Lagebild.
Solche Angriffe lassen sich nur durch Plattformen mit verhaltensbasierter, domänenübergreifender Analyse frühzeitig erkennen. In diesem Kontext ist KI kein optionales Element, sondern essenziell. Nur adaptive Anomalieerkennung kann Abweichungen im Verhalten von Hosts, Prozessen oder Benutzern erkennen, korrelieren und kontextualisieren, bevor Schaden entsteht.
Fazit: Adaptive Verteidigung gegen adaptive Bedrohungen
Salt Typhoon verfolgt ein klares Ziel: unentdeckt zu bleiben. Die Gruppe nutzt legitime Werkzeuge, modulare Malware, flexible C2-Kanäle und verschleierte Infrastruktur. Die Konsequenz für Verteidiger ist eindeutig: Nur wer Kontext erkennt, kann Angriffsmuster identifizieren. Nur wer ganzheitlich analysiert, kann koordiniert reagieren. Und nur wer autonome, KI-gestützte Reaktionen ermöglicht, kann Schäden begrenzen.
Der Angriff auf das europäische Telekommunikationsunternehmen wurde durch frühzeitige Erkennung und automatisierte Eindämmung neutralisiert – noch bevor sensible Daten exfiltriert oder Systeme beeinträchtigt wurden. Der Vorfall zeigt jedoch auch: Die nächste Operation ist nur eine Frage der Zeit. Proaktive, kontextbasierte Verteidigung muss zur Norm werden – denn die Angreifer haben sich bereits weiterentwickelt.
Max Heinemeyer.
(Bild: Darktrace)
Über den Autor
Max Heinemeyer ist Global Field CISO bei Darktrace und hat über zehn Jahren Erfahrung in diesem Bereich. Seine Schwerpunkte liegen unter anderem in den Bereichen Penetrationstests, Red Teaming, SIEM- und SOC-Beratung sowie in der Jagd auf Advanced Persistent Threats (APT).
:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9c/a5/9ca570c8bd95b932fc9340e407955727/0129962021v1.jpeg "Die Integration von TeamViewer Tensor mit Microsoft Intune soll Geräteverwaltung und Remote-Support enger miteinander verbinden. (Bild: TeamViewer)")
:quality(80)/p7i.vogel.de/wcms/be/a8/bea82d3e86f3b56f10b4ca7d2ff3c76b/0129978597v1.jpeg "Die Stadtwerke Böhmetal, verantwortlich für Strom, Erdgas, Wasser, Glasfaser, E-Mobilität und kommunalen Dienstleistungen in der Regiopn Walsrode/Bad Fallingbostel/Bomlitz, haben ihr Client-Management erfolgreich auf die Lösung von Baramunid umgestellt. (Bild: © hkama - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/7d/917ddd84b6a91a3c714f69e0cd68a1bc/0129295870v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/46/cd46c374566ee4f71e0783b16be223ca/0129923840v1.jpeg "Das Angebot dient als vorkonfigurierte beziehungsweise verifizierte Architektur für Hersteller, die private 5G-Netze in der Produktion absichern wollen. (Bild: © Arcurs Co-op/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/fc/abfc546d976d1b4c2e9f70fe03de4e30/0129932836v1.jpeg "Mobile Router wie die BR-Pro-Serie sind für vernetzte Standorte gedacht, etwa in Industrieanlagen, Fahrzeugen oder abgelegenen Infrastrukturen. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/84/2e84f980f0712564d3de280e8c94e69d/0129848117v1.jpeg "Der vollständige abgeriegelte und gehärtete Server Dell PowerEdge XR9700 ist gezielt für den Betrieb an ungeschützten Außenstandorten konzipiert. (Bild: Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/34/1e/341eb68c68e2cef4a29d0b9f3812db3f/0129609623v1.jpeg "Microsoft und Ericsson integrieren 5G-Management nativ in Windows 11. (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/29/9f/299f303d564f7335adaee5a68cffd281/0130012992v1.jpeg "Durch KI, regulierte Branchen und Datensouveränität verändern sich die Architekturen. Edge gehört zu einem der Trends in diesem Spannungsfeld. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/c9/75c9fe2aec5edccac9c877e3ed052453/0129583392v1.jpeg "Unternehmen, die in souveräne KI-Infrastrukturen investieren, schaffen die Voraussetzungen für Kontrolle und Verlässlichkeit im KI-Einsatz. (Bild: © Borin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/00/bd0005c8c528ec054bd1181decbf8187/0129070776v1.jpeg "Vorbildlich: Hier sitzt der neue 800GE-Port (ganz rechts) direkt neben etablierten 400G-Links – realisiert mit „Nokia 800G-ZR+“-Single-Lambda-Optiken, die 800 Gbit/s über eine einzige Wellenlänge übertragen, in einem Router vom Typ „Nokia 7750SR“. (Bild: DE-CIX)")
:quality(80)/p7i.vogel.de/wcms/b2/c7/b2c7cb1a2d7c536b69e3c68344329f24/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/ad/12ad913edeb4019fca1061725a55ddf0/0129796719v1.jpeg "So gelingt die Migration von Hyper-V-Hosts auf Windows Server 2025: Clusterregeln, VM-Versionen, Lizenzierung und Migrationspfade im Überblick. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/07/c507aaf13a0eaf86a31e367ffb99f6e4/0129737133v1.jpeg "So gelingt die Migration von Domänencontrollern von Windows Server 2016 auf 2025. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/64/c0/64c03a9e80649b98a1f66d312678584c/0129851009v1.jpeg "Historisch gewachsenes Code-Chaos voller Abhängigkeiten und Sicherheitslücken? Hier schafft eine schrittweise Modernisierung nachhaltige Abhilfe. (Bild: © Ilja - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/79/2a799178a9ca82bc45cb446fab1cd215/0130101970v1.jpeg "Wi-Fi-7-Access-Points von Zyxel setzen auf offene OpenWiFi-Architekturen für Provider-Netze. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/fe/9c/fe9c7a4fb1645b1a4ac61f1858d4738f/0129860498v1.jpeg "Peplink bringt mit dem AP One Enterprise einen Wi-Fi-7-Access-Point mit Tri-Band, 6-GHz-Support und Dual-10G-Uplink für dichte Enterprise-Netze. (Bild: Vitel)")
:quality(80)/p7i.vogel.de/wcms/cf/c3/cfc31fa054e844935e6845c694499893/0128253082v1.jpeg "ALE stellt mit dem OmniAccess Stellar AP1501 einen Wi-Fi-7-Access-Point für Innenbereiche mit 2,5-GbE und WPA3 vor. (Bild: ALE)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50ce61d934ddf9929277bb8e306836/0130174844v1.jpeg "Citrix CSP im Wandel: Markttrends, Geschäftsmodell und Zukunftsausblick, ein Interview von Oliver Schonschek, Insider Research, mit Jonas Görmiller und Maximilian Lang von Arrow. (Bild: Vogel IT-Medien / Arrow / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/a8/1e/a81e66299335573593283050dcfebb9c/0129626445v1.jpeg "Hybride Angriffe verbinden digitale Attacken und physische Sabotage, Ausfälle bei Energie, Kommunikation und Finanzwesen treffen Unternehmen meist unmittelbar. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/6e/a86e3402f17319013d3788295086cc78/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/19/0b/190bfaf5cb55e2add9ddfc2f2a071e87/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/b7/a5b7af68fb2d90e7069e93e9dcb47fe7/0129649934v1.jpeg "Wenn Kommunikationssysteme ausfallen, gerät nicht nur der Klinikbetrieb ins Stocken – auch die Patientensicherheit steht auf dem Spiel. (Bild: KI-generiert)")
![APT-Angriffe wie Salt Typhoon operieren unauffällig im Netzwerk oft über Monate hinweg. (Bild: anaumenko - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/o4PMAER59DU_U3JFxBCaLd4y_i0=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/ef/9a/ef9abe77bbd0bad13ca00e9312fb50ad/0130117714v1.jpeg "APT-Angriffe wie Salt Typhoon operieren unauffällig im Netzwerk oft über Monate hinweg. (Bild: anaumenko - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/70/cd/70cd4ff25fd48a80665c3a18562e3436/0129958418v1.jpeg "Gerade auf Baustellen – aber nicht nur dort – spielen IP-Kameras ihre Vorteile gegenüber herkömmlicher Überwachungstechnik voll aus. (Bild: © MartinM - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd4200c21c0a24391b4511119bc030/0128991187v1.jpeg "Mit zunehmender Modellgröße und wachsenden GPU-Clustern wird das Netzwerk zur zentralen Herausforderung. InfiniBand galt lange als das Nonplusultra. Doch Ethernet-Technologien haben erheblich aufgeholt. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134600/134600/65.jpg "vitel_logo.jpg ()")
![APT-Angriffe wie Salt Typhoon operieren unauffällig im Netzwerk oft über Monate hinweg.(Bild: anaumenko - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/hXTtwScRAiYfkPHE2KydwI76U6M=/fit-in/800x0/p7i.vogel.de/wcms/ef/9a/ef9abe77bbd0bad13ca00e9312fb50ad/0130117714v1.jpeg "APT-Angriffe wie Salt Typhoon operieren unauffällig im Netzwerk oft über Monate hinweg.(Bild: anaumenko - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/c5/49/c549eec997f57fb93bb06b7aeab72252/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/f9/53f9739cc433f7e8d0ef316f8c7d4125/0127748761v2.jpeg "Laptops und mobile Geräte sind heute die größte Angriffsfläche im Unternehmen. Endpoint Security schützt sie mit verhaltensbasierter Erkennung und kontinuierlichem Monitoring. (Bild: © Creative_Bringer - stock.adobe.com)")