Silent Push tarafından yapılan yeni bir analiz, Salt Typhoon grubunun uzun süredir devam eden siber casusluk faaliyetlerine ilişkin 45 daha önce rapor edilmemiş alan adını ortaya çıkardı. Bu alan adlarının en eskisi Mayıs 2020 tarihine dayanıyor ve 2024 saldırılarının bu grubun ilk operasyonu olmadığını gösteriyor.

Salt Typhoon ve UNC4841 Arasındaki Bağlantılar

Analiz, Salt Typhoon altyapısının Çin bağlantılı UNC4841 hacker grubu ile bazı örtüşmeler taşıdığını ortaya koydu. UNC4841, Barracuda Email Security Gateway cihazlarındaki kritik bir sıfır gün açığını (CVE-2023-2868, CVSS 9.8) kullanmasıyla tanınıyor. Salt Typhoon ise 2019’dan beri aktif olup, özellikle ABD telekomünikasyon sektörünü hedef alan operasyonlarıyla biliniyor.

Teknik Detaylar ve Öneriler

İncelenen 45 alan adı, yüksek yoğunluklu IP adreslerine işaret ediyor; bu da birçok ana bilgisayar adının bu IP’lerle ilişkilendirildiğini gösteriyor. Düşük yoğunluklu IP adreslerine işaret eden alan adlarının en eski faaliyeti Ekim 2021’e kadar uzanıyor. Ayrıca, sahte Proton Mail adresleri kullanılarak 16 alan adı kaydedildiği tespit edildi. En eski alan adı ise 19 Mayıs 2020’de sahte bir kişi tarafından Los Angeles adresiyle kaydedilen onlineeylity[.]com.

Silent Push, özellikle son beş yıl içinde DNS kayıtlarının ve ilgili IP adreslerine yönelik isteklerin dikkatle incelenmesini öneriyor. Bu, Salt Typhoon gibi Çin destekli tehdit aktörlerinin faaliyetlerinin tespiti ve önlenmesi için kritik önem taşıyor.