Los cazadores de amenazas han descubierto un conjunto de dominios no denunciados anteriormente, algunos de los cuales se remontan a mayo de 2020, que están asociados a actores de amenazas vinculados a China como Salt Typhoon y UNC4841.
«Los dominios se remontan a varios años atrás, y la actividad de registro más antigua tuvo lugar en mayo de 2020, lo que confirma aún más que los ataques de Salt Typhoon de 2024 no fueron la primera actividad llevada a cabo por este grupo», Silent Push dijo en un nuevo análisis compartido con The Hacker News.
También se ha identificado que la infraestructura identificada, con un total de 45 dominios, comparte cierto nivel de superposición con otro grupo de piratas informáticos asociado a China rastreado como UNC4841 , que es mejor conocida por su explotación de día cero de una falla de seguridad en los dispositivos Barracuda Email Security Gateway (ESG) (CVE-2023-2868, puntuación CVSS: 9,8).
Tifón salino , activo desde 2019, llamó la atención el año pasado por atacar a los proveedores de servicios de telecomunicaciones en los EE. UU. Se cree que es operado por el Ministerio de Seguridad del Estado (MSS) de China, el grupo de amenazas comparte similitudes con actividades rastreadas como Earth Estries, FamousSparrow, GhostEmperor y UNC5807.
Silent Push dijo que identificó tres direcciones de correo electrónico de Proton Mail que se utilizaron para registrar hasta 16 dominios con direcciones inexistentes.
Un examen más detallado de las direcciones IP relacionadas con los 45 dominios ha revelado que muchos de estos dominios apuntaban a direcciones IP de alta densidad. Se refieren a las direcciones IP a las que apunta actualmente un elevado número de nombres de host o a las que han apuntado en el pasado. De las que apuntaban a direcciones IP de baja densidad, la actividad más temprana se remonta a octubre de 2021.
El dominio más antiguo identificado como parte de campañas de ciberespionaje respaldadas por China es onlineeylity [.] com, registrado el 19 de mayo de 2020 por una persona falsa llamada Monica Burch, que afirma residir en 1294 Koontz Lane en Los Ángeles, California.
«Por ello, instamos encarecidamente a cualquier organización que crea que corre el riesgo de ser objeto de espionaje chino a que busque en sus registros de DNS de los últimos cinco años solicitudes a cualquiera de los dominios de nuestro feed de archivos o a sus subdominios», afirma Silent Push.
«También sería prudente comprobar si hay solicitudes a cualquiera de las direcciones IP de la lista, especialmente durante los períodos en los que este actor las operó».