華爾街日報自9月底開始，多次針對中國駭客組織Salt Typhoon（也被稱為Earth Estries、GhostEmperor、FamousSparrow）攻擊美國電信業者的情況進行報導，受害業者包含AT&T、Lumen、T-Mobile、Verizon，傳出美國政府已著手調查此事，而且，這些駭客的目標還包含其他國家的電信業者。但究竟這些駭客如何發動攻擊？最近有研究人員公布調查結果。

資安業者趨勢科技指出，根據他們自2020年開始的追蹤，這些駭客持續針對政府機關及網際網路服務供應商（ISP）進行長期攻擊，並指出2022年也開始針對電信公司。研究人員認為，駭客從事攻擊行動的目的，是為了更有效收集相關情報。

他們發現對方主要鎖定的標的，包含電信公司使用的資料庫、雲端伺服器等重要服務，以及服務供應商的網路環境，駭客會試圖植入名為Demodex的rootkit程式，目的是希望藉此增加存取受害電信業者的管道。

在近期攻擊東南亞電信業者的事故裡，這些駭客使用多款後門程式，其中包含未被揭露的GhostSpider、模組化的SnappyBee（Deed RAT）、跨平臺的Masol RAT。根據他們的追蹤，駭客的攻擊行動，根據鎖定的產業類型，大致上可區分為兩種類型Alpha、Beta，其中的Beta攻擊是針對電信業者及政府機關而來。

無論是那一種攻擊行動，駭客取得初始入侵管道的方法，主要都是針對曝露於網際網路的應用程式伺服器，並利用已知漏洞來達到目的，這些包含Ivanti Connect Secure漏洞CVE-2023-46805和CVE-2024-21887、FortiClient EMS的SQL注入漏洞CVE-2023-48788、Sophos防火牆漏洞CVE-2022-3236，以及ProxyLogon（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）。

在Beta攻擊行動裡，駭客初期利用網頁伺服器或是ProxyLogon，取得相關帳密然後控制目標電腦。

接著，他們主要使用Demodex長期埋伏於受害組織的網路環境，在近期的攻擊行動裡，對方透過DLL挾持手法載入GhostSpider，此後門程式使用TLS通訊協定，從C2接收藏匿於HTTP標頭及cookie的命令，而能將攻擊流量混入合法流量。

而對於攻擊行動Alpha的部分，研究人員提及是針對臺灣的政府機關及化學公司而來，駭客從C2伺服器下載惡意工具，並透過寄生攻擊進行橫向移動。