¿Por qué los ciberespías usan cientos de dominios? La envergadura de la infraestructura de Salt Typhoon supera todas las previsiones
El encubrimiento funcionó a la perfección hasta que los investigadores encontraron una pista clave.
Los investigadores de Silent Push descubrieron una infraestructura vinculada a los ciberespías chinos Salt Typhoon y UNC4841. La nueva muestra incluye 45 dominios no publicados anteriormente, parte de los cuales fue registrada ya en mayo de 2020. Esto refuta la idea de que los ataques de alto perfil de Salt Typhoon contra operadores de telecomunicaciones estadounidenses en 2024 fueran su primer despliegue — la actividad del grupo se registra al menos desde 2019.
Según los analistas, Salt Typhoon opera bajo la dirección del Ministerio de Seguridad del Estado de China y presenta similitudes con campañas rastreadas bajo los nombres Earth Estries, FamousSparrow, GhostEmperor y UNC5807. El grupo UNC4841, con el que se solapa la infraestructura, es conocido por explotar una vulnerabilidad 0-day en los gateways Barracuda ESG — CVE-2023-2868 (puntuación CVSS 9.8).
Al analizar los datos de registro, los especialistas determinaron que para crear 16 dominios se usaron direcciones de correo de Proton Mail registradas a nombre de propietarios ficticios con direcciones falsas. El recurso más antiguo identificado es onlineeylity[.]com, registrado el 19 de mayo de 2020 bajo el nombre falso Monica Burch, supuestamente residente en Los Ángeles.
El análisis de las direcciones IP asociadas a los dominios mostró que una parte significativa apuntaba a direcciones con alta concentración de dominios (cuando a una IP están vinculados decenas o cientos de nombres). En los recursos con baja concentración (una IP usada para uno o varios dominios), la primera actividad se rastrea desde octubre de 2021.
Silent Push advirtió que las organizaciones que puedan estar en el punto de interés de la inteligencia china deben revisar los registros DNS de los últimos cinco años en busca de consultas a estos dominios o sus subdominios, y también analizar las solicitudes de red a las direcciones IP identificadas durante los periodos de actividad de los atacantes.