Salt Typhoon è un nome che, per chi è nel settore della sicurezza informatica, ogni tanto salta fuori.
I ricercatori di sicurezza informatica a caccia di minacce hanno scoperto una serie di domini precedentemente non segnalati, alcuni risalenti a maggio 2020, associati a criminali informatici legati alla Cina noti come Salt Typhoon e UNC4841.
La minaccia di Salt Typhoon e le sue origini nel 2020
“I domini risalgono a diversi anni fa, con la più vecchia attività di registrazione avvenuta a maggio 2020, confermando ulteriormente che gli attacchi di Salt Typhoon del 2024 non sono stati la prima attività condotta da questo gruppo”, ha dichiarato Silent Push in una nuova analisi.
L’infrastruttura individuata, che conta in totale 45 domini, è stata inoltre collegata a un certo livello di sovrapposizione con un altro gruppo di hacker associato alla Cina, noto come UNC4841, famoso soprattutto per lo sfruttamento di una vulnerabilità zero-day nei dispositivi Barracuda Email Security Gateway (ESG) (CVE-2023-2868, punteggio CVSS: 9.8).
Salt Typhoon, un gruppo attivo dal 2019, ha attirato grande attenzione lo scorso anno per aver preso di mira fornitori di servizi di telecomunicazione negli Stati Uniti; si ritiene che sia gestito dal Ministero della Sicurezza di Stato cinese (MSS) e condivide caratteristiche simili con attività tracciate come Earth Estries, FamousSparrow, GhostEmperor e UNC5807.
Il mistero degli indirizzi mail Proton
Silent Push ha dichiarato di aver identificato tre indirizzi e-mail Proton Mail utilizzati per registrare fino a 16 domini con indirizzi inesistenti.
Un’analisi più approfondita degli indirizzi IP collegati ai 45 domini ha rivelato che molti di essi puntavano a IP ad alta densità, cioè indirizzi a cui attualmente o in passato hanno fatto riferimento un numero elevato di hostname. Per quelli che puntavano a IP a bassa densità, l’attività più antica risale a ottobre 2021.
I vecchi domini identificati
Il dominio più vecchio identificato come parte delle campagne di cyberspionaggio sostenute dalla Cina è onlineeylity[.]com, registrato il 19 maggio 2020 da una falsa identità chiamata Monica Burch, che dichiarava di risiedere al 1294 Koontz Lane, Los Angeles, California.
“Per questo motivo, invitiamo fortemente qualsiasi organizzazione che ritenga di essere a rischio di spionaggio cinese a esaminare i propri log DNS degli ultimi cinque anni per verificare eventuali richieste verso uno qualsiasi dei domini presenti nel nostro archivio, o dei loro sottodomini”, ha affermato Silent Push.
“Sarebbe inoltre prudente controllare eventuali richieste verso gli indirizzi IP elencati, in particolare durante i periodi di tempo in cui questo attore li ha utilizzati.”
