2025年9月9日Ravie Lakshmananサイバー諜報 / テレコムセキュリティ
脅威ハンターは、中国と関連する脅威アクターであるSalt TyphoonおよびUNC4841に関連する、2020年5月まで遡る未報告のドメイン群を発見しました。
「これらのドメインは数年前にまで遡り、最も古い登録活動は2020年5月に行われており、2024年のSalt Typhoonによる攻撃がこのグループによる最初の活動ではなかったことをさらに裏付けています」とSilent PushはThe Hacker Newsと共有した新たな分析で述べています。
特定されたインフラストラクチャは合計45ドメインにのぼり、これらはまた、中国関連のハッキンググループであるUNC4841とも一部重複が見られます。同グループは、Barracuda Email Security Gateway(ESG)機器のセキュリティ脆弱性(CVE-2023-2868、CVSSスコア: 9.8)のゼロデイ悪用で最もよく知られています。
Salt Typhoonは2019年から活動しており、昨年は米国の通信サービスプロバイダーを標的にしたことで広く注目されました。中国国家安全部(MSS)が運営していると考えられており、この脅威クラスターはEarth Estries、FamousSparrow、GhostEmperor、UNC5807として追跡されている活動と類似点があります。
Silent Pushによると、存在しない住所を使って最大16のドメインを登録するために使用されたProton Mailのメールアドレスが3つ特定されました。
45ドメインに関連するIPアドレスをさらに調査したところ、多くのドメインが高密度IPアドレスを指していたことが判明しました。これは、多数のホスト名が現在または過去に指しているIPアドレスを指します。低密度IPアドレスを指していたものの中で最も早い活動は2021年10月に遡ります。
中国支援のサイバー諜報キャンペーンの一部として特定された最も古いドメインはonlineeylity[.]comで、2020年5月19日にMonica Burchという偽名の人物(カリフォルニア州ロサンゼルスの1294 Koontz Lane在住と主張)によって登録されました。
「そのため、中国による諜報活動のリスクがあると考える組織は、過去5年間のDNSログを調査し、当社のアーカイブフィード内のいずれかのドメインまたはそのサブドメインへのリクエストがないか確認することを強く推奨します」とSilent Pushは述べています。
「また、リストにあるIPアドレスへのリクエストも、特にこのアクターが運用していた期間中に確認することが賢明でしょう。」
翻訳元: https://thehackernews.com/2025/09/45-previously-unreported-domains-expose.html