Un actor persistente vinculado a China
Investigadores de seguridad han descubierto 45 dominios previamente no reportados asociados al grupo de espionaje cibernético Salt Typhoon, vinculado a China y activo desde al menos 2019. El hallazgo confirma que los ataques masivos reportados en 2024 no fueron su primera operación. Algunos de estos dominios se remontan a mayo de 2020, lo que demuestra una estrategia de infiltración de largo plazo.
Vínculos con otros grupos de alto perfil
El análisis, compartido por Silent Push, señala que parte de la infraestructura utilizada por Salt Typhoon se superpone con UNC4841, otro grupo chino conocido por explotar la vulnerabilidad crítica en los Barracuda Email Security Gateway (CVE-2023-2868, CVSS 9.8). Estos vínculos refuerzan la teoría de que varias células coordinadas estarían actuando bajo la dirección del Ministerio de Seguridad del Estado de China (MSS).
Técnicas encubiertas y registros fraudulentos
Entre los hallazgos, destacan tres direcciones de Proton Mail utilizadas para registrar hasta 16 dominios falsos, asociados a identidades inexistentes. Un ejemplo: el dominio onlineeylity[.]com, creado en 2020 bajo el nombre ficticio de Monica Burch, con dirección en Los Ángeles. Además, varios dominios apuntaban a IP de alta densidad, lo que dificulta su rastreo, mientras que otros se vincularon a infraestructura activa desde octubre de 2021.
Impacto en telecomunicaciones y sectores críticos
Salt Typhoon se ha enfocado en atacar a proveedores de servicios de telecomunicaciones en EE. UU., pero su infraestructura revela un alcance más amplio. El grupo comparte características con otros clústeres como Earth Estries, FamousSparrow y GhostEmperor, todos reconocidos por operaciones avanzadas de espionaje y robo de información estratégica.
Indicadores de posible ataque (IOCs)
Silent Push y otros investigadores han publicado una lista de dominios asociados a Salt Typhoon y UNC4841 que pueden servir como indicadores tempranos de compromiso. Las organizaciones deberían revisar sus registros DNS y firewalls para identificar actividad relacionada con:
- aar[.]gandhibludtric[.]com
aria-hidden[.]com
asparticrooftop[.]com
caret-right[.]com
chatscreend[.]com
chekoodver[.]com
cloudprocenter[.]com
clubworkmistake[.]com
col-lg[.]com
colourtinctem[.]com
componfrom[.]com
dateupdata[.]com
e-forwardviewupdata[.]com
fessionalwork[.]com
fjtest-block[.]com
fitbookcatwer[.]com
followkoon[.]com
gandhibludtric[.]com
gesturefavour[.]com
getdbecausehub[.]com
goldenunder[.]com
hateupopred[.]com
imap[.]dateupdata[.]com
incisivelyfut[.]com
infraredsen[.]com
junsamyoung[.]com
lookpumrron[.]com
materialplies[.]com
morrowadded[.]com
newhkdaily[.]com
onlineeylity[.]com
pulseathermakf[.]com
qatarpenble[.]com
redbludfootvr[.]com
requiredvalue[.]com
ressicepro[.]com
shalaordereport[.]com
siderheycook[.]com
sinceretehope[.]com
solveblemten[.]com
togetheroffway[.]com
toodblackrun[.]com
troublendsef[.]com
unfeelmoonvd[.]com
verfiedoccurr[.]com
waystrkeprosh[.]com
xdmgwctese[.]com
Recomendaciones para las empresas
Silent Push recomienda a las organizaciones, especialmente en sectores críticos como telecomunicaciones, energía y servicios financieros:
Revisar los registros DNS de los últimos cinco años en busca de solicitudes a los dominios identificados.
Monitorear conexiones hacia las direcciones IP vinculadas, especialmente en los periodos de actividad conocidos.
Fortalecer capacidades de detección y respuesta con inteligencia de amenazas actualizada y monitoreo proactivo.
Conclusión: Este descubrimiento refuerza la necesidad de que las organizaciones no solo reaccionen a incidentes inmediatos, sino que revisen su historial y fortalezcan su estrategia de ciberdefensa a largo plazo frente a amenazas persistentes como Salt Typhoon.
