45 domínios não relatados anteriormente expõem espionagem cibernética de longa data do Salt Typhoon

Caçadores de ameaças descobriram 45 domínios previamente não relatados associados aos grupos de ameaças Salt Typhoon e UNC4841, ligados à China. Alguns domínios datam de maio de 2020, confirmando que os ataques de 2024 não foram a primeira atividade do grupo.

A infraestrutura identificada mostra sobreposição com o UNC4841, conhecido por explorar vulnerabilidades zero-day em appliances Barracuda Email Security Gateway. O Salt Typhoon, ativo desde 2019 e associado ao Ministério de Segurança de Estado da China, tem como alvo principal provedores de serviços de telecomunicações nos EUA.

Três endereços Proton Mail foram usados para registrar 16 domínios com endereços inexistentes. A análise revelou que muitos domínios apontavam para endereços IP de alta densidade, enquanto outros mostraram atividade desde outubro de 2021.

Organizações em risco de espionagem chinesa são aconselhadas a verificar seus logs de DNS dos últimos cinco anos para solicitações aos domínios e IPs identificados.