Salt TyphoonおよびUNC4841に関連する新たな45のドメインを特定

出典: Pixels Hunter via Shutterstock

研究者たちは、悪名高い中国の脅威アクターSalt Typhoonおよびその他の中国支援グループに関連する、2020年まで遡るものも含む45のドメイン群を発見しました。これらは、標的組織への長期的かつステルスなアクセスを得るためのサイバースパイ活動に利用されてきました。

セキュリティ企業Silent Pushの研究者は、これまで報告されていなかったドメインを特定しました。これらは偽名や偽の住所を使って登録されており、Salt Typhoonだけでなく、もう一つの中国支援アクターUNC4841にも関連しています。両グループはインフラに重複があることが、Silent Pushが月曜日に公開したレポートで明らかになっており、これらのドメインは中華人民共和国（PRC）の指示によるサイバースパイ活動に利用されているようです。

「我々のチームは、公開されているコマンド＆コントロール（C2）インフラにおける主要なドメイン登録パターンを特定し、それによりSalt Typhoonまたは他の密接に関連する中国支援の脅威アクターのために設置されたと高い確信を持って評価できる追加ドメインを発見しました」とレポートは述べています。「合計45のドメイン名を発見し、その大半はこれまでAPT活動と関連付けられたことがありません。」

Salt Typhoonは、中華人民共和国国家安全省（MSS）に関連し、GhostEmperor、FamousSparrow、UNC2286などの別名でも知られています。昨年、さまざまな通信事業者を標的とした大規模な注目度の高い脅威キャンペーンで悪名を高めました。一方、UNC4841は2023年にBarracuda社のメールセキュリティ機器の脆弱性を悪用してネットワークに侵入したことで知られています。

Silent Pushが特定したドメイン（すべて投稿内にリストされています）は、脅威アクターによって既に使用されていない可能性が高いものの、研究者たちは「Salt TyphoonおよびUNC4841に関連するすべてのドメインは依然として重大なリスクをもたらす」と述べています。

Silent Pushによれば、「この進化する脅威に対抗するには積極的な対策が不可欠」であり、他の研究者にも脅威グループに関する集団的な理解を深めるため、45のドメインと自身のテレメトリやログを照合することを推奨しています。

悪意あるドメインの追跡

ドメイン特定の出発点となったのは、トレンドマイクロが昨年11月に公開したブログ記事でした。同社はSalt TyphoonをEarth Estriesとして追跡しており、グループが使用した3種類のマルウェア（Demodex rootkit、Snappybee、Ghostspiderバックドア）のC2ホスト名が含まれていました。

Silent PushはWHOISデータソースを利用することで、「興味深いパターン」を発見しました。多くのマルウェア関連ドメインがProtonMail[.]comのメールアドレスで登録されていたのです。さらに調査を進めた結果、最終的にSalt TyphoonおよびUNC4841に結びつく少なくとも45のドメインに行き着いたと、研究者たちは述べています。

中国支援のAPTキャンペーンに関連する最古のドメインはonlineeylity[.]comで、2020年5月19日に「Monica Burch」という人物によって登録されましたが、この人物はロサンゼルスの1294 Koontz Laneという偽の住所に住んでいるとされています。

また、マイアミ在住を装う別の偽の人物Shawn Francisは、asparticrooftop[.]com、cloudprocenter[.]com、e-forwardviewupdata[.]com、fitbookcatwer[.]com、hateupopred[.]com、shalaordereport[.]com、verfiedoccurr[.]com、waystrkeprosh[.]com、xdmgwctese[.]comという9つの別のドメインを登録しています。他にもincisivelyfut[.]comと

sinceretehope[.]comは、実在しない人物によって登録されており、今回はTommie Arnoldという人物が、マイアミの1729 Marigold Laneというまた別の偽住所に住んでいると主張しています。

「とはいえ、固有の偽住所の詳細を共有していることから、これらのドメインがすべて同じアクターによって設置された関連インフラであると合理的に確信できます」とSilent Pushはレポートで述べています。「一見無害な英語名と米国内の実在しない住所の組み合わせの使用」もまた、研究者たちが中国支援アクターに追跡したパターンであるとSilent Pushは述べています。

前述の通り、Salt TyphoonとUNC4841は、Silent Pushによれば、これらのドメインに関連するすべての活動を停止したようです。しかし、chekoodver[.]comというドメインだけは、UNC4841による新たな活動を示唆していると研究者は述べています。

「このドメインは2025年4月30日に『Geralyn Pickens』という偽名と、UNC4841に関連するethdbnsnmskndjad55@protonmail[.]comのメールアドレスで登録されました」と投稿には記載されています。「これは2023年10月以降初めてリストに追加された新規ドメインであり、活動再開を示唆している可能性があります。」

中国のスパイ活動は続く

Salt Typhoonは、歴史上最も手ごわい中国支援の敵対者の一つとして台頭しています。昨年、世界中の通信企業に対する大規模な侵害が発覚し、同グループによるさまざまな攻撃とともに、世界のセキュリティ業界を昨年から2025年にかけて揺るがしました。実際、その侵害の影響は今も続いており、米国を含む政府関係者が、グループの継続的なサイバースパイ活動にどう対応するかを引き続き検討しています。

このような状況を踏まえ、Silent Pushによれば、防御側はSalt Typhoonの動きや、他の強力なPRC脅威アクターとの連携を非常に深刻に受け止め、新たに明らかになったドメインに関連する活動が自社ネットワーク内にないか徹底的に調査すべきです。同社は、Salt Typhoonのアクターが検知されるまでに一部の通信ネットワークに1年間アクセスしていたことを強調しています。

「したがって、中国のスパイ活動のリスクがあると考えるすべての組織に対し、過去5年間のDNSログを調査し、当社のアーカイブフィードにあるいずれかのドメインやそのサブドメインへのリクエストがないか確認することを強く推奨します」とレポートは述べています。「また、リストされているIPアドレスへのリクエストも、特にこのアクターが運用していた期間中に確認することが賢明です。」