华尔街日报自9月底开始，多次针对中国黑客组织Salt Typhoon（也被称为Earth Estries、GhostEmperor、FamousSparrow）攻击美国电信业者的情况进行报导，受害业者包含AT&T、Lumen、T-Mobile、Verizon，传出美国政府已着手调查此事，而且，这些黑客的目标还包含其他国家的电信业者。但究竟这些黑客如何发动攻击？最近有研究人员公布调查结果。

资安业者趋势科技指出，根据他们自2020年开始的追踪，这些黑客持续针对政府机关及互联网服务供应商（ISP）进行长期攻击，并指出2022年也开始针对电信公司。研究人员认为，黑客从事攻击行动的目的，是为了更有效收集相关情报。

他们发现对方主要锁定的标的，包含电信公司使用的数据库、云端服务器等重要服务，以及服务供应商的网络环境，黑客会试图植入名为Demodex的rootkit程序，目的是希望借此增加存取受害电信业者的管道。

在近期攻击东南亚电信业者的事故里，这些黑客使用多款后门程序，其中包含未被揭露的GhostSpider、模块化的SnappyBee（Deed RAT）、跨平台的Masol RAT。根据他们的追踪，黑客的攻击行动，根据锁定的产业类型，大致上可区分为两种类型Alpha、Beta，其中的Beta攻击是针对电信业者及政府机关而来。

无论是那一种攻击行动，黑客取得初始入侵管道的方法，主要都是针对曝露于互联网的应用程序服务器，并利用已知漏洞来达到目的，这些包含Ivanti Connect Secure漏洞CVE-2023-46805和CVE-2024-21887、FortiClient EMS的SQL注入漏洞CVE-2023-48788、Sophos防火墙漏洞CVE-2022-3236，以及ProxyLogon（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）。

在Beta攻击行动里，黑客初期利用网页服务器或是ProxyLogon，取得相关帐密然后控制目标电脑。

接着，他们主要使用Demodex长期埋伏于受害组织的网络环境，在近期的攻击行动里，对方通过DLL挟持手法加载GhostSpider，此后门程序使用TLS通信协定，从C2接收藏匿于HTTP标头及cookie的命令，而能将攻击流量混入合法流量。

而对于攻击行动Alpha的部分，研究人员提及是针对台湾的政府机关及化学公司而来，黑客从C2服务器下载恶意工具，并通过寄生攻击进行横向移动。