Los cazadores de amenazas han descubierto un conjunto de dominios previamente no reportados, algunos que se remontan a mayo de 2020, que están asociados con los actores de amenaza vinculados a China, Saltphoon y UNC4841.
«Los dominios se remontan a varios años, con la actividad de registro más antigua que ocurre en mayo de 2020, confirmando aún más que los ataques de Typhoon Salt 2024 no fueron la primera actividad llevada a cabo por este grupo», dijo Silent Push en un nuevo análisis compartido con The Hacker News.
La infraestructura identificada, por un total de 45 dominios, también se ha identificado como compartir cierto nivel de superposición con otro grupo de piratería asociado a China rastreado como UNC4841, que es mejor conocido por su explotación de día cero de una falla de seguridad en Barracuda Security Gateway (ESG) (CVE-2023-2868, puntaje CVSS: 9.8).
Salt Typhoon, activo desde 2019, atrajo una atención generalizada el año pasado por su objetivo de los proveedores de servicios de telecomunicaciones en los Estados Unidos que se cree que están operados por el Ministerio de Seguridad del Estado de China (MSS), el grupo de amenazas comparte similitudes con actividades rastreadas como Estrias de la Tierra, FamiveSparrrow, Ghostemperor y UNC5807.
Silent Push dijo que identificó tres direcciones de correo electrónico de correo de protones que se utilizaron para registrar hasta 16 dominios con direcciones inexistentes.
Un examen adicional de las direcciones IP relacionadas con los 45 dominios ha revelado que muchos de estos dominios apuntaban a direcciones IP de alta densidad. Estos se refieren a las direcciones IP a las que actualmente apuntan un alto número de nombres de host, o han señalado en el pasado. De las que señalaron las direcciones IP de baja densidad, la actividad más temprana se remonta a octubre de 2021.
El dominio más antiguo identificado como parte de las campañas cibernéticas respaldadas por China es la línea de línea () com, registrada el 19 de mayo de 2020 por una personalidad falsa llamada Monica Burch, quien afirma residir en 1294 Koontz Lane en Los Ángeles, California.
«Como tal, instamos firmemente a cualquier organización que se crea que esté en riesgo de espionaje chino para buscar sus registros de DNS durante los últimos cinco años para las solicitudes a cualquiera de los dominios en nuestro archivo de alimentación, o sus subdominios», dijo Silent Push.
«También sería prudente verificar las solicitudes de cualquiera de las direcciones IP enumeradas, particularmente durante los períodos de tiempo en los que este actor las operó».