Китайские хакерские группы Salt Typhoon и UNC4841: новые домены и данные телеметрии

Salt Typhoon, также известная как GhostEmperor, FamousSparrow, Earth Estries и UNC2286, считается операцией Министерства государственной безопасности КНР. Группа печально известна масштабными кампаниями против телекоммуникационной инфраструктуры и интернет-провайдеров по всему миру. Её деятельность привела к компрометации метаданных более миллиона абонентов мобильной связи в США и доступу к системам, используемым для санкционированного прослушивания.

Аналитики Silent Push, отталкиваясь от небольшого набора публично известных доменов, использовали комбинацию данных WHOIS (система регистрации доменных имён) и записей SOA (Start of Authority - начальная запись зоны) для выявления скрытых шаблонов регистрации. Ключевым маркером стало использование одноразовых адресов электронной почты на базе ProtonMail в сочетании с вымышленными регистрационными данными. Эти данные включали англоязычные имена и несуществующие адреса в США, что указывает на скоординированные усилия по сокрытию личности.

Этот метод позволил обнаружить 45 доменных имён, большинство из которых ранее не связывались с APT-активностью. Самый старый домен в выборке был зарегистрирован ещё в мае 2020 года, что подтверждает долгосрочный и терпеливый характер операций группы.

Особый интерес представляет связь с другой китайской группировкой - UNC4841. Эта группа прославилась в 2023 году эксплуатацией уязвимости нулевого дня в Barracuda Email Security Gateway Appliance. Исследование выявило явное перекрытие технической инфраструктуры между Salt Typhoon и UNC4841, включая общие шаблоны регистрации доменов и методы управления, что указывает на возможные общие корни или тесное сотрудничество.

Многие из обнаруженных доменов в настоящее время неактивны, будучи либо заброшенными, либо перенаправленными на sinkhole-серверы (серверы-ловушки, контролируемые исследователями безопасности). Однако учитывая фокус этих групп на долгосрочном и скрытном доступе, Silent Press настоятельно рекомендует организациям, особенно из телекоммуникационного сектора и государственного аппарата, провести тщательный анализ своих DNS-логов и данных телеметрии за последние пять лет на предмет обращений к указанным доменам и IP-адресам.

Раннее обнаружение подобных обращений может свидетельствовать о успешном проникновении в прошлом, которое до сих пор остаётся незамеченным. Публикация этих данных предназначена для того, чтобы помочь международному сообществу кибербезопасности в отслеживании и противодействии сложным угрозам, исходящим от государственных хакерских группировок. Полный отчёт и архив индикаторов компрометации доступны корпоративным клиентам Silent Push с июня 2025 года.

IPv4

• 103.113.85.216
• 103.159.133.251
• 146.70.79.105
• 146.70.79.16
• 146.70.79.18
• 146.70.79.48
• 165.154.230.21
• 165.154.242.73
• 172.93.165.12
• 172.93.165.13
• 172.93.188.220
• 172.93.188.241
• 172.93.189.207
• 172.93.189.6
• 193.239.86.168
• 193.56.255.165
• 202.146.221.69
• 203.20.113.208
• 205.189.160.3
• 23.106.123.183
• 27.255.81.107
• 38.54.63.75
• 45.125.67.144
• 74.119.193.42
• 91.245.255.13
• 91.245.255.32
• 91.245.255.36
• 91.245.255.48
• 91.245.255.50
• 91.245.255.72
• 92.38.139.216
• 92.38.160.50
• 96.9.211.15
• 96.9.211.27
• 96.9.211.4

Domains

• aar.gandhibludtric.com
• aria-hidden.com
• asparticrooftop.com
• caret-right.com
• chatscreend.com
• chekoodver.com
• cloudprocenter.com
• clubworkmistake.com
• col-lg.com
• colourtinctem.com
• componfrom.com
• dateupdata.com
• e-forwardviewupdata.com
• fessionalwork.com
• fitbookcatwer.com
• fjtest-block.com
• followkoon.com
• gandhibludtric.com
• gesturefavour.com
• getdbecausehub.com
• goldenunder.com
• hateupopred.com
• imap.dateupdata.com
• incisivelyfut.com
• infraredsen.com
• junsamyoung.com
• lookpumrron.com
• materialplies.com
• morrowadded.com
• newhkdaily.com
• onlineeylity.com
• pop3.materialplies.com
• pulseathermakf.com
• qatarpenble.com
• redbludfootvr.com
• requiredvalue.com
• ressicepro.com
• shalaordereport.com
• siderheycook.com
• sinceretehope.com
• solveblemten.com
• togetheroffway.com
• toodblackrun.com
• troublendsef.com
• unfeelmoonvd.com
• verfiedoccurr.com
• waystrkeprosh.com
• xdmgwctese.com