中国黑客锁定电信业者发动攻击，从而进行间谍活动的情况，这几个星期以来不断浮出台面，最近一波是Salt Typhoon针对美国电信业者的事故，传出受害电信业者涵盖AT&T、Lumen、T-Mobile、Verizon，但有知情人士透露，受害的国家并不只是美国，其他国家的电信业者也有遭受中国黑客攻击的情况，如今有研究人员证实此事。

资安业者CrowdStrike揭露从2020年开始活动的中国黑客组织Liminal Panda，这些黑客拥有广泛的电信网络知识，甚至相当熟悉各家电信业者之间如何互相链接，而能够在成功渗透部分电信服务器后，进一步对其他地区的供应商下手。

该组织使用支持电信移动网络的通信协定，像是模拟GSM通信协定来激活C2，或是通过开发工具接收行动用户信息、通话中继数据，以及短信文本。

究竟这些黑客的目的为何？研究人员认为，很有可能是从事情报收集。由于这群黑客过往专门针对南亚和非洲的电信业者，他们推测这些区域将是主要的攻击目标。研究人员也特别提及，这些黑客的攻击目标与国家利益一致的情况，因为，受害电信业者都位于中国推动一带一路（缩写为B&R或BRI）的国家。

附带一提的是，2021年，CrowdStrike揭露黑客组织LightBasin（UNC1945）针对电信业者的攻击行动，根据最新出炉的调查结果，CrowdStrike认为当初的攻击其实是Liminal Panda所为，为何会出现不同的攻击者身分判断？原因是当时有多组人马在同一个遭到入侵的网络环境从事恶意活动，使得相关攻击行为难以判断责任归属。

当时CrowdStrike表示，攻击者专门针对Linux及Solaris服务器下手，先是通过密码喷洒（password-spraying）手法，入侵电信业者外部的DNS服务器（eDNS），并部署后门程序​PingPong窃取帐密数据，以及进行横向移动。

此外，对方也使用公开能取得的后门程序TinyShell，以及Serving GPRS Support Node（SGSN）模拟软件，创建C2通信，目的是伪装成合法流量来隐匿行踪。