Hackeri APT chinezi exploatează vulnerabilitățile routerelor pentru a pătrunde în rețele enterprise

septembrie 7, 2025 George Musat

București, 7 septembrie 2025 – Grupuri de hackeri de tip APT (Advanced Persistent Threat), susținute de statul chinez, desfășoară o campanie cibernetică de amploare, vizând routerele utilizate în infrastructuri critice și mediile enterprise. Conform Cyber Security News, atacatorii exploatează vulnerabilități deja cunoscute în echipamente de rețea pentru a obține acces inițial, pe care ulterior îl consolidează prin tehnici de persistență și mișcare laterală.

Ținte strategice și tactici avansate

Conform unui raport comun publicat de NSA, CISA și FBI, alături de agenții din Australia, Canada, Marea Britanie, UE și Japonia, hackerii se concentrează asupra routerelor de tip provider edge și customer edge. Odată compromise, acestea sunt manipulate prin modificarea listelor de control al accesului (ACL), crearea de tuneluri GRE sau IPsec și exploatarea protocoalelor de management precum SSH și SNMP, ascunzând astfel activitatea malițioasă în traficul legitim.

Cine sunt atacatorii

Campania este atribuită grupului Salt Typhoon, cunoscut și sub denumirile GhostEmperor sau Operator Panda. Conform The Hacker News, acest grup a exploatat vulnerabilități critice din echipamente Cisco, Ivanti și Palo Alto – printre care CVE-2023-20198, CVE-2024-21887 și CVE-2024-3400 – reușind să compromită peste 600 de organizații din cel puțin 80 de țări. Printre sectoarele vizate se numără telecomunicațiile, guvernul, transportul și infrastructura militară.

De asemenea, conform Industrial Cyber, anchetele indică faptul că unele companii chineze de tehnologie – precum Sichuan Juxinhe sau Beijing Huanyu Tianqiong – ar fi sprijinit indirect aceste operațiuni, furnizând resurse și infrastructură logistică grupurilor APT.

Recomandări pentru protecție

Experții subliniază că aceste atacuri evidențiază necesitatea unei monitorizări constante a rețelelor. Conform CISA, organizațiile ar trebui să blocheze accesul de management expus pe internet, să utilizeze protocoale securizate precum SNMPv3 și să implementeze soluții avansate de detecție a intruziunilor la nivel de infrastructură, nu doar la nivel de endpoint.

Concluzie

Campania APT derulată de Salt Typhoon confirmă faptul că routerele, adesea ignorate în strategiile de securitate cibernetică, devin o țintă principală pentru operațiuni de spionaj la scară globală. Conform specialiștilor citați, doar o abordare coordonată între guverne, furnizori de echipamente și mediul privat poate limita impactul unor astfel de atacuri.

← Backdoor „NotDoor” compromite Outlook și asigură control asupra sistemelor vizate

You May Also Like