Caçadores de ameaças (threat hunters) descobriram um conjunto de domínios não reportados anteriormente, alguns com registros que datam de maio de 2020, associados a atores ameaçadores vinculados à China, conhecidos como Salt Typhoon e UNC4841.
“Os domínios remontam a vários anos, com a atividade de registro mais antiga ocorrendo em maio de 2020, o que reforça que os ataques do Salt Typhoon em 2024 não foram as primeiras ações realizadas por esse grupo”, afirmou a Silent Push em uma nova análise compartilhada com o The Hacker News.
A infraestrutura identificada, com um total de 45 domínios, também apresenta algum nível de sobreposição com outro grupo hacker associado à China, monitorado como UNC4841, que é mais conhecido pela exploração de zero-day em uma vulnerabilidade nos appliances Barracuda Email Security Gateway (ESG) (
CVE-2023-2868
, CVSS score: 9.8).
Ativo desde 2019, o Salt Typhoon ganhou ampla atenção no ano passado por sua atuação contra provedores de serviços de telecomunicações nos EUA.
Acredita-se que o grupo seja operado pelo Ministério de Segurança do Estado da China (Ministry of State Security – MSS), e apresenta semelhanças com outras campanhas rastreadas sob os codinomes Earth Estries, FamousSparrow, GhostEmperor e UNC5807.
A Silent Push identificou três endereços de e-mail do Proton Mail que foram usados para registrar até 16 domínios utilizando endereços inexistentes.
Uma análise mais aprofundada dos endereços IP relacionados aos 45 domínios revelou que muitos deles apontavam para IPs de alta densidade, ou seja, endereços IP para os quais um grande número de hostnames atualmente aponta ou apontava anteriormente.
Entre os domínios que apontavam para IPs de baixa densidade, a atividade mais antiga remonta a outubro de 2021.
O domínio mais antigo identificado como parte das campanhas de ciberespionagem apoiadas pela China é o onlineeylity[.]com, registrado em 19 de maio de 2020, por uma persona fictícia chamada Monica Burch, que alega residir no endereço 1294 Koontz Lane, em Los Angeles, Califórnia.
“Por isso, recomendamos fortemente que qualquer organização que se considere em risco de espionagem chinesa busque em seus logs de DNS, nos últimos cinco anos, solicitações referentes a qualquer um dos domínios em nosso arquivo, ou seus subdomínios”, alertou a Silent Push.
“Também é prudente verificar as requisições para qualquer um dos endereços IP listados, especialmente durante os períodos em que este ator os operou.”
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...