Il gruppo di cyber spionaggio noto come Salt Typhoon, collegato alla Cina, è tornato sotto i riflettori dopo la scoperta di una nuova infrastruttura composta da 45 domini precedentemente non segnalati. Questi domini, alcuni dei quali attivi dal maggio 2020, dimostrano che le attività di Salt Typhoon sono in corso da anni e non si sono limitate agli attacchi del 2024. Gli esperti di sicurezza hanno identificato una sovrapposizione tra questi domini e quelli utilizzati da UNC4841, un altro gruppo di hacker cinesi famoso per aver sfruttato vulnerabilità critiche come quella nei dispositivi Barracuda Email Security Gateway (CVE-2023-2868).

Salt Typhoon è operativo dal 2019 ed è noto per aver preso di mira provider di servizi di telecomunicazione negli Stati Uniti. Si ritiene che il gruppo sia legato al Ministero della Sicurezza di Stato cinese, presentando analogie operative con altri cluster noti come Earth Estries, FamousSparrow, GhostEmperor e UNC5807. L’analisi sulle nuove infrastrutture evidenzia che molte di esse sono state registrate usando indirizzi email Proton Mail fittizi e dati anagrafici inventati, una tecnica ormai abituale per eludere i controlli.

L’indagine sulle attività dei 45 domini ha messo in luce che molti puntavano verso indirizzi IP ad alta densità, ovvero IP a cui fanno riferimento numerosi nomi host, aumentando l'opacità delle operazioni malevole. In altri casi, i domini erano associati a IP a bassa densità, con tracciamenti che risalgono fino all’ottobre 2021. Il dominio più datato, onlineeylity[.]com, è stato registrato nel maggio 2020 da una falsa identità con sede in California, a riprova della lunga pianificazione e sofisticazione delle campagne di spionaggio informatico.

Gli esperti consigliano vivamente alle organizzazioni, soprattutto a quelle che ritengono di essere potenziali bersagli di spionaggio cinese, di esaminare i propri log DNS degli ultimi cinque anni alla ricerca di accessi verso questi domini o i relativi sottodomini. È altrettanto importante monitorare eventuali richieste verso gli indirizzi IP collegati, soprattutto nei periodi di attività segnalati. Queste misure possono aiutare a individuare compromissioni passate e prevenire ulteriori infiltrazioni.

L’attenzione su Salt Typhoon e sulle infrastrutture correlate sottolinea quanto sia fondamentale per aziende e provider di servizi di telecomunicazione adottare strategie di sicurezza proattive, mantenere aggiornati i sistemi e condurre controlli periodici sulle proprie reti, per difendersi da campagne di cyber spionaggio sempre più evolute e persistenti.