Citrix NetScaler Gateway von Salt Typhoon ausgenutzt

Das LfV BW veröffentlichte am 21. Oktober 2025 eine Warnmeldung zu Ausnutzungen einer Schwachstelle in Citrix NetScaler Gateway durch die Gruppe Salt Typhoon. Im Juli 2025 habe die Gruppierung über die Lücke auf Systeme eines europäischen Telekommunikationsanbieters zugegriffen. 

Wenn Salt Typhoon in ein System gelange, schleuse die Gruppe den Remote Access Trojaner (RAT) Snappybee bzw. Deed RAT ein. Dieser ermögliche tieferen Systemzugriff, Datenabfluss und weitere maliziöse Aktionen.

Die seit ca. 2019 aktive Gruppierung Salt Typhoon fokussiere in erster Linie europäische Telekommunikationsanbieter, Energieversorger und Regierungseinrichtungen.

Das LfV BW verweist in seiner Warnmeldung auf einen Beitrag des IT-Sicherheitsunternehmens Darktrace. Darktrace bietet in seiner Meldung neben weiteren Details auch einige IoCs, mit denen Nutzende eine Betroffenheit ihrer Systeme ermitteln können.

Wenn Sie Citrix NetScaler Gateway einsetzen, prüfen Sie Ihre Systeme mithilfe der von Darktrace bereitgestellten IoCs. Die Darktrace-Meldung finden Sie unten verlinkt.