Zouttyfoon richt zich op telecombedrijven via routerfouten, waarschuwen FBI en Canada

Een recent gepubliceerd advies van de FBI en het Canadese Cyber ​​Centre waarschuwt voor een aanhoudende cyberspionagecampagne van een aan China gelieerde groep die zich richt op telecomnetwerken wereldwijd. Het rapport, gepubliceerd op 20 juni 2025, wijst op " Salt Typhoon ", een beruchte Chinese APT-groep die bekende kwetsbaarheden in routers en andere edge-netwerkapparaten gebruikt om gevoelige gegevens te stelen.

De activiteit, die al sinds februari wordt gevolgd, omvat het misbruiken van apparaten aan de netwerkperimeter om verborgen toegang te verkrijgen, communicatiegegevens af te tappen en de controle op lange termijn te behouden. In één gedocumenteerd incident werden drie netwerkapparaten bij een Canadees telecombedrijf gecompromitteerd, waardoor aanvallers gespreksgegevens en gebruikerslocaties konden onderscheppen.

De groep maakt gebruik van kwetsbaarheden zoals CVE-2023-20198 om configuratiebestanden van doelapparaten te extraheren. Deze kwetsbaarheid in de Cisco Web UI werd voor het eerst ontdekt in oktober 2023 en werd op grote schaal uitgebuit, met gevolgen voor meer dan 40.000 apparaten.

Volgens het advies van de FBI (pdf) richt de campagne zich weliswaar op telecomproviders, maar de gebruikte tactieken kunnen van toepassing zijn op een breder scala aan doelwitten. Edge-apparaten zoals routers, firewalls en VPN-apparaten zijn bijzonder kwetsbaar, vooral als ze verouderde firmware of zwakke configuraties gebruiken.

Eenmaal binnen implementeren ze GRE-tunnels (Generic Routing Encapsulation), waardoor ze geruisloos netwerkverkeer kunnen routeren via systemen die onder hun controle staan. Met deze techniek kunnen ze communicatie observeren of manipuleren zonder traditionele beveiligingsdetectie.

In tegenstelling tot cyberaanvallen die gericht zijn op snelle datadiefstal, lijkt Salt Typhoon zich te richten op stille, langdurige surveillance. Deze aanpak sluit aan bij andere bekende, aan staten gelinkte campagnes die strategische inlichtingenvergaring belangrijker vinden dan financieel gewin.

De aanvallers gebruiken geen zero-day-exploits. In plaats daarvan vertrouwen ze op openbaar bekende kwetsbaarheden, die vaak lange tijd niet worden gepatcht . Dit stelt hen in staat om in de loop van de tijd toegang te verkrijgen zonder dat er alarm wordt geslagen.

De FBI en het Cyber ​​Centre waarschuwen dat telecomnetwerken van nature gevoelige persoonlijke en commerciële gegevens bevatten. Door apparaten die dit verkeer verwerken te hacken, kunnen aanvallers inzicht krijgen in gebruikersgedrag, fysieke locaties en privégesprekken.

Uit het advies blijkt dat deze campagnes waarschijnlijk zullen worden voortgezet en mogelijk de komende twee jaar verder worden uitgebreid.

In de gezamenlijke waarschuwing werden de getroffen bedrijven niet bij naam genoemd, behalve het incident in Canada, maar werd wel opgemerkt dat er wereldwijd vergelijkbare activiteiten zijn waargenomen. Organisaties worden daarom dringend verzocht edge-apparaten te beveiligen, netwerkactiviteiten te controleren op kwaadaardige activiteiten en beschikbare patches zo snel mogelijk te implementeren.