A Darktrace szerint 2025. július első hetében egy európai távközlési szervezet célpontja lett a Kínához köthető Salt Typhoon nevű kiberkémkedési csoportnak. A támadók a Citrix NetScaler Gateway egyik sebezhetőségét kihasználva szereztek kezdeti hozzáférést a rendszerhez, majd tovább terjesztkedtek a Citrix Virtual Delivery Agent (VDA) hosztokra az ügyfél Machine Creation Services (MCS) alhálózatán belül.