Un recente avviso diffuso dal Centro canadese per la cybersicurezza e dal Federal Bureau of Investigation degli Stati Uniti mette in luce una minaccia informatica di grande rilevanza: il gruppo Salt Typhoon, legato alla Cina, ha condotto attacchi di cyber spionaggio ai danni di importanti fornitori di telecomunicazioni a livello globale. Al centro di queste attività c’è lo sfruttamento di una vulnerabilità critica nei dispositivi Cisco IOS XE, identificata come CVE-2023-20198, con un punteggio di gravità CVSS pari a 10.0, che consente agli aggressori di accedere ai file di configurazione dei dispositivi di rete.

Nel febbraio 2025, i cyber criminali sono riusciti a penetrare tre dispositivi registrati presso una compagnia di telecomunicazioni canadese, il cui nome non è stato reso pubblico. Oltre all’accesso ai dati, almeno uno dei file è stato modificato per configurare un tunnel GRE (Generic Routing Encapsulation), strumento che permette il monitoraggio e la raccolta di traffico all’interno della rete compromessa. Secondo gli enti di sicurezza, è altamente probabile che il settore delle telecomunicazioni non sia l’unico obiettivo di questa campagna: i dispositivi canadesi potrebbero essere stati utilizzati come punto di partenza per colpire altre infrastrutture e raccogliere informazioni sensibili.

Le attività dei Salt Typhoon, in alcuni casi, sembrano essersi limitate alla ricognizione della rete, ma il rischio principale è rappresentato dalla capacità di mantenere un accesso persistente, tipica delle operazioni sponsorizzate da stati nazionali. Questa strategia permette ai gruppi di minaccia di sfruttare i dispositivi di frontiera di rete per infiltrarsi in profondità e preparare ulteriori attacchi.

Gli sviluppi recenti trovano conferma anche in rapporti precedenti che documentano lo sfruttamento di vulnerabilità come CVE-2023-20198 e CVE-2023-20273 per colpire aziende di telecomunicazioni negli Stati Uniti, Sudafrica e Italia, installando tunnel GRE utili a esfiltrare dati nel lungo periodo.

Nuove famiglie di malware su FortiGate 100D

Parallelamente, il National Cyber Security Centre britannico ha avvertito riguardo a due nuove famiglie di malware, SHOE RACK e UMBRELLA STAND, progettate per colpire firewall FortiGate 100D di Fortinet. SHOE RACK consente accesso remoto e tunneling TCP, mentre UMBRELLA STAND esegue comandi shell inviati da server controllati dagli attaccanti. SHOE RACK si basa parzialmente su uno strumento open source, reverse_shell, già utilizzato da altri gruppi di minaccia cinesi per sviluppare varianti malevole.

Questi eventi confermano come le infrastrutture di rete e i dispositivi edge restino bersagli privilegiati per campagne di cyber spionaggio promosse da attori statali, con un rischio crescente sia per le aziende di telecomunicazioni che per altri settori strategici.