كشف باحثو التهديدات عن مجموعة من النطاقات غير المُبلَّغ عنها سابقًا، تعود بعض تسجيلاتها إلى مايو 2020، وترتبط بجهات تهديد سيبراني صينية تُعرف باسم Salt Typhoon وUNC4841. وأكد تحليل صادر عن شركة Silent Push أن هذه الاكتشافات تُثبت أن هجمات Salt Typhoon في عام 2024 لم تكن البداية الفعلية لأنشطة المجموعة.
ارتباطات مع مجموعة UNC4841
البنية التحتية التي تم تحديدها، والبالغ عددها 45 نطاقًا، أظهرت تقاطعات مع أنشطة مجموعة UNC4841 المرتبطة بالصين، والمعروفة باستغلالها لثغرة يوم-صفر خطيرة في أجهزة Barracuda Email Security Gateway (CVE-2023-2868) بتقييم خطورة بلغ 9.8.
وتنشط Salt Typhoon منذ عام 2019، وقد برز اسمها بشكل لافت في العام الماضي بسبب استهدافها مزودي خدمات الاتصالات في الولايات المتحدة، ويُعتقد أن لها صلة بوزارة أمن الدولة الصينية (MSS). كما تتشابه أنشطتها مع مجموعات أخرى مثل Earth Estries وFamousSparrow وGhostEmperor وUNC5807.
تفاصيل التسجيل والهيكلية التقنية
أوضحت شركة Silent Push أنها رصدت ثلاث عناوين بريد إلكتروني عبر Proton Mail استخدمت في تسجيل 16 نطاقًا بأسماء وهمية. وكشفت التحليلات أن العديد من النطاقات ارتبطت بعناوين IP عالية الكثافة، وهي عناوين تشير إليها أعداد كبيرة من أسماء النطاقات حاليًا أو في الماضي، بينما ارتبطت نطاقات أخرى بعناوين منخفضة الكثافة تعود أنشطتها إلى أكتوبر 2021.
أقدم نطاق تم ربطه بحملات التجسس المدعومة من الصين هو onlineeylity[.]com، والمسجَّل في 19 مايو 2020 باسم شخصية وهمية تُدعى “Monica Burch” تدعي الإقامة في لوس أنجلوس، كاليفورنيا.
تحذيرات أمنية
وحذرت الشركة من أن على المؤسسات المعرّضة لخطر التجسس الصيني أن تراجع سجلات نظام أسماء النطاقات (DNS) الخاصة بها خلال الأعوام الخمسة الماضية، بحثًا عن أي طلبات مرتبطة بالنطاقات التي تم كشفها أو نطاقاتها الفرعية.
