Salt Typhoon & UNC4841: Vén màn hạ tầng gián điệp mạng Trung Quốc nhắm vào viễn thông toàn cầu

Phát hiện chính

Silent Push đã phát hiện hàng chục tên miền chưa từng được báo cáo trước đây. Những tên miền này được sử dụng nhằm thiết lập quyền truy cập bí mật, lâu dài vào các tổ chức mục tiêu. Hoạt động này được cho là do nhóm APT Trung Quốc Salt Typhoon và một số nhóm gián điệp mạng khác có liên hệ với chính phủ Trung Quốc điều khiển.

Salt Typhoon nổi tiếng vì các chiến dịch tấn công toàn cầu vào hạ tầng viễn thông và các nhà cung cấp dịch vụ Internet (ISP) ở Mỹ cùng hơn 80 quốc gia khác. Những chiến dịch thành công đã giúp nhóm này thu thập dữ liệu metadata của hơn một triệu thuê bao di động tại Mỹ, đồng thời xâm nhập vào các hệ thống hỗ trợ nghe lén hợp pháp theo lệnh tòa.

Trong quá trình nghiên cứu, các nhà nghiên cứu cũng ghi nhận một mối đe dọa khác có liên hệ – UNC4841. Nhóm này được biết đến nhiều nhất qua việc khai thác lỗ hổng Barracuda Email Security Gateway để truy cập trái phép. Hạ tầng kỹ thuật của UNC4841 có nhiều điểm chồng lấn với Salt Typhoon, cho thấy khả năng tồn tại những mối liên kết hoặc sự phối hợp giữa các nhóm APT Trung Quốc này.

Mục đích công bố báo cáo này là để mở rộng nghiên cứu về Salt Typhoon và các nhóm liên quan, đồng thời khuyến khích cộng đồng an ninh mạng đối chiếu nhật ký và dữ liệu lịch sử của mình với những tên miền đã bị phát hiện, từ đó cùng nhau nâng cao hiểu biết và khả năng phòng vệ.

Tóm tắt điều hành

Các nhà phân tích của Silent Push đã phát hiện một loạt tên miền mới liên quan đến Salt Typhoon và những nhóm APT Trung Quốc có liên kết chặt chẽ. Nhóm này đã hoạt động ít nhất từ năm 2019, nổi bật với các chiến dịch nhắm vào hạ tầng viễn thông và ISP trên toàn cầu.

Qua phân tích các mẫu đăng ký tên miền trong hạ tầng C2 đã được công bố, xác định thêm 45 tên miền mới, phần lớn chưa từng được gắn với hoạt động APT nào trước đây. Các bằng chứng cho thấy những tên miền này được xây dựng có chủ đích, phục vụ cho Salt Typhoon hoặc các nhóm có liên quan.

Một số tên miền có lịch sử đăng ký từ năm 2020, chứng minh rằng các cuộc tấn công năm 2024 chỉ là một phần trong chuỗi hoạt động kéo dài nhiều năm. Bên cạnh đó, các điều tra viên cũng phát hiện sự giao thoa đáng kể về hạ tầng giữa Salt Typhoon và UNC4841 – một nhóm tấn công khác của Trung Quốc, làm nổi bật nguy cơ về sự phối hợp hoặc chia sẻ nguồn lực giữa các nhóm APT.

Bối cảnh

Salt Typhoon được cho là do Bộ An ninh Quốc gia Trung Quốc (MSS) hậu thuẫn. Nhóm này đã triển khai nhiều chiến dịch gián điệp mạng quy mô lớn, nhắm vào Mỹ và hơn 80 quốc gia khác. Ngoài tên gọi Salt Typhoon, nhóm còn được các hãng an ninh mạng khác nhận diện dưới nhiều bí danh như GhostEmperor, FamousSparrow, Earth Estries hay UNC2286.

Một trong những chiến dịch nổi bật nhất diễn ra năm 2024, nhắm vào ít nhất 9 công ty viễn thông ở Mỹ cùng nhiều tổ chức khác trên thế giới. Kết quả, Salt Typhoon thu thập được metadata của gần như toàn bộ người dùng di động tại Mỹ, bao gồm cả nhiều chính trị gia cấp cao, và tiếp cận hệ thống phục vụ hoạt động nghe lén hợp pháp.

Salt Typhoon thường lợi dụng các lỗ hổng nghiêm trọng, bao gồm cả zero-day, để xâm nhập. Điểm đáng chú ý là nhóm này không phụ thuộc vào kỹ thuật lừa đảo xã hội (social engineering), mà trực tiếp khai thác kỹ thuật số.

Ngoài Salt Typhoon, nhóm UNC4841 cũng cho thấy nhiều điểm tương đồng về TTPs (chiến thuật, kỹ thuật, quy trình). UNC4841 nổi tiếng vì khai thác zero-day trong sản phẩm Barracuda Email Security Gateway năm 2023. Hạ tầng kỹ thuật của UNC4841 và Salt Typhoon có nhiều điểm giao thoa, cho thấy khả năng hai nhóm có quan hệ mật thiết.

Phương pháp nghiên cứu

Nghiên cứu tập trung vào việc phân tích dữ liệu WHOIS, bản ghi SOA, cũng như quan sát các mẫu hạ tầng C2. Vì các chiến dịch của Salt Typhoon thường nhắm vào máy chủ công khai và khai thác lỗ hổng, chỉ số nhận diện (IoCs) ban đầu thường rất hạn chế.

Tuy nhiên, để duy trì sự hiện diện lâu dài, nhóm APT này cần duy trì kết nối về máy chủ do họ kiểm soát. Điều này cung cấp cơ hội để các nhà phân tích lần theo và phát hiện thêm hạ tầng ẩn giấu.

Một số công cụ và phương pháp đã được sử dụng:

• Truy vấn WHOIS để tìm email và thông tin đăng ký trùng lặp.
• SOA record pivoting nhằm phát hiện các mẫu trùng khớp không rõ ràng trong cơ sở dữ liệu DNS.
• Đối chiếu với các nghiên cứu trước của Trend Micro, Barracuda, ESET và nhiều đơn vị khác.

Qua quá trình này đã phát hiện ra nhiều email ProtonMail khả nghi, được dùng để đăng ký nhiều nhóm tên miền khác nhau. Mỗi nhóm được gắn với các “nhân vật” giả mạo có tên và địa chỉ ở Mỹ, nhưng các địa chỉ này thực tế không tồn tại. Đây là một kỹ thuật nguy trang phổ biến nhằm làm hạ tầng trông đáng tin hơn.

Các phát hiện bổ sung

• Một số tên miền giả dạng tổ chức truyền thông, ví dụ newhkdaily[.]com, có thể phục vụ mục đích tuyên truyền hoặc chiến dịch tâm lý (PSYOP).
• Cấu trúc đăng ký cho thấy các nhóm có quy trình tổ chức bài bản, tái sử dụng cùng một số email hoặc name server để xây dựng hạ tầng.
• Một số tên miền từng trỏ về IP “low-density”, tức IP không chia sẻ với nhiều host khác, điều này làm tăng khả năng chúng thực sự được nhóm APT điều khiển.
• Một phần hạ tầng đã bị sinkhole – kiểm soát lại bởi các nhà nghiên cứu hoặc cơ quan thực thi pháp luật.

Khuyến nghị

Silent Push đánh giá toàn bộ các tên miền và IP liên quan Salt Typhoon và UNC4841 đều mang rủi ro cao. Do đó, phía FPT Threat Intelligence đưa ra các khuyến nghị cho các tổ chức như sau:

1. Rà soát DNS logs trong ít nhất 5 năm qua để kiểm tra sự xuất hiện của những tên miền và IP trong báo cáo.
2. Cập nhật các cơ chế phát hiện bằng cách đưa các IoC và IoFA (Indicators of Future Attack) vào hệ thống giám sát.
3. Theo dõi hoạt động bất thường liên quan đến hạ tầng viễn thông, ISP, hoặc các hệ thống quan trọng có tiếp xúc Internet.
4. Chia sẻ thông tin tình báo mối đe dọa (CTI) với cộng đồng để tăng khả năng phòng vệ tập thể.

Kết luận

Từ một số ít tên miền công khai, Silent Push đã mở rộng thành tập hợp hơn 45 tên miền cùng nhiều địa chỉ IP, khẳng định hoạt động lâu dài và tinh vi của Salt Typhoon cùng UNC4841. Các nhóm này tập trung vào duy trì quyền truy cập lâu dài và khai thác hạ tầng trọng yếu, phù hợp với mục tiêu chiến lược của Trung Quốc.

Các chuyên gia khuyến nghị các tổ chức có nguy cơ bị gián điệp mạng từ Trung Quốc tiến hành đối chiếu ngay lập tức, đồng thời tiếp tục cập nhật thông tin từ cộng đồng nghiên cứu. Silent Push sẽ duy trì theo dõi Salt Typhoon và UNC4841, công bố các phát hiện mới khi có thể, và hỗ trợ khách hàng doanh nghiệp trong việc giảm thiểu rủi ro từ mối đe dọa này.

IOC

• aar[.]gandhibludtric[.]com
• aria-hidden[.]com
• asparticrooftop[.]com
• caret-right[.]com
• chatscreend[.]com
• chekoodver[.]com
• cloudprocenter[.]com
• clubworkmistake[.]com
• col-lg[.]com
• colourtinctem[.]com
• componfrom[.]com
• dateupdata[.]com
• e-forwardviewupdata[.]com
• fessionalwork[.]com
• fjtest-block[.]com
• fitbookcatwer[.]com
• followkoon[.]com
• gandhibludtric[.]com
• gesturefavour[.]com
• getdbecausehub[.]com
• goldenunder[.]com
• hateupopred[.]com
• imap[.]dateupdata[.]com
• incisivelyfut[.]com
• infraredsen[.]com
• junsamyoung[.]com
• lookpumrron[.]com
• materialplies[.]com
• morrowadded[.]com
• newhkdaily[.]com
• onlineeylity[.]com
• pulseathermakf[.]com
• qatarpenble[.]com
• redbludfootvr[.]com
• requiredvalue[.]com
• ressicepro[.]com
• shalaordereport[.]com
• siderheycook[.]com
• sinceretehope[.]com
• solveblemten[.]com
• togetheroffway[.]com
• toodblackrun[.]com
• troublendsef[.]com
• unfeelmoonvd[.]com
• verfiedoccurr[.]com
• waystrkeprosh[.]com
• xdmgwctese[.]com

Tham khảo

• https://www.silentpush.com/blog/salt-typhoon-2025/
• https://www.darkreading.com/threat-intelligence/new-domains-salt-typhoon-unc4841