Amenazas Hunter descubrió un conjunto de dominios que no habían sido reportados antes de regresar a mayo de 2020.
«El dominio se remonta hace varios años y confirma aún más que la actividad de registro más antigua ocurrió en mayo de 2020 y que el ataque de cloruro de 2024 no fue la primera actividad llevada a cabo por este grupo», dijo Silent Push en un nuevo análisis que comparte con Hacker News.
La infraestructura identificada, que es un total de 45 dominios, se ha identificado como compartiendo cierto grado de superposición con otro grupo de piratería relacionado con China rastreado como UNC4841, mejor conocido por su uso de fallas de seguridad en el día cero en el aparato de Gateway de seguridad de correo electrónico Barracuda (ESG) (CVE-2023-2868, puntaje CVSS: 9.8).
El Timbone de Salt, que ha estado activo desde 2019, ha prestado atención el año pasado al atacar a los proveedores de servicios de telecomunicaciones que se cree que están operados por el Ministerio de Seguridad Nacional (MSS) de China. El clúster de amenazas comparte similitudes con actividades rastreadas como Earth Esther, Celebries, Ghost Emper, UNC5807.
Silent Push dijo que ha identificado tres direcciones de correo electrónico de protones que se utilizaron para registrar hasta 16 dominios con direcciones inexistentes.
La investigación adicional de las direcciones IP asociadas con 45 dominios reveló que muchos de estos dominios apuntan a direcciones IP de alta densidad. Estos se refieren a las direcciones IP que muchos nombres de host señalan o señalan en el pasado. Aunque apunta a una dirección IP de baja densidad, la actividad inicial se remonta a octubre de 2021.
El dominio más antiguo identificado como parte de una campaña cibernética respaldada por China es el yoneylity (.) Com, registrado el 19 de mayo de 2020 por una persona falsa que dice ser residente en 1294 Koontz Lane en Los Ángeles, California.
«Como resultado, las organizaciones nos instan firmemente a que creemos que nos arriesgan al espionaje en China para buscar registros de DNS durante los últimos cinco años para las solicitudes de la alimentación del archivo o los dominios de sus subdominios», dijo Silent Push.
«También sería prudente verificar las solicitudes a cualquiera de las direcciones IP enumeradas, especialmente durante el período durante el cual este actor las ha manipulado».
Source link
