### Salt Typhoon: Nuevos dominios revelan campañas persistentes de ciberespionaje chino desde 2020

#### Introducción

Un reciente hallazgo por parte de investigadores de amenazas ha sacado a la luz la existencia de múltiples dominios no reportados previamente, vinculados a los grupos de ciberespionaje chinos conocidos como Salt Typhoon y UNC4841. Según el equipo de análisis de Silent Push, algunos de estos dominios datan de mayo de 2020, lo que evidencia una actividad sostenida y planificada a largo plazo por parte de estos actores. Este descubrimiento obliga a replantear la percepción del alcance y la sofisticación de las operaciones de Salt Typhoon, así como su impacto potencial en la seguridad de empresas e instituciones occidentales.

#### Contexto del Incidente o Vulnerabilidad

Salt Typhoon —también conocido como UNC4841 en la clasificación de Mandiant— es un grupo de amenazas persistentes avanzadas (APT) atribuido a la República Popular China y especializado en operaciones de ciberespionaje. El grupo es conocido por ataques altamente dirigidos contra infraestructuras críticas, entidades gubernamentales y organizaciones privadas en sectores estratégicos, incluyendo tecnología, defensa y telecomunicaciones.

En 2024, Salt Typhoon volvió a captar la atención internacional tras una serie de ataques dirigidos contra sistemas de correo electrónico y gateways de seguridad, como Barracuda ESG. Sin embargo, el hallazgo de dominios activos desde 2020 sugiere que la actividad del grupo es mucho más amplia y longeva de lo que se pensaba inicialmente. Este descubrimiento indica campañas de vigilancia y ataque bien organizadas, que han pasado desapercibidas durante años pese a los esfuerzos de detección y respuesta del sector.

#### Detalles Técnicos

Los investigadores han identificado un conjunto de dominios asociados a Salt Typhoon y UNC4841, muchos de ellos operativos desde hace más de cuatro años. Estos dominios se han empleado como infraestructura de comando y control (C2), servidores de distribución de malware y nodos de exfiltración de datos. El análisis de Silent Push destaca que la actividad de registro de los dominios más antiguos se remonta a mayo de 2020, lo que coincide con campañas previas de spear phishing y explotación de vulnerabilidades zero-day.

Entre los CVE explotados por estos actores destaca CVE-2023-2868, una vulnerabilidad crítica en el Barracuda Email Security Gateway, explotada activamente para instalar backdoors y obtener persistencia en entornos comprometidos. Los TTPs (Tactics, Techniques and Procedures) observados se alinean con los descritos en el marco MITRE ATT&CK, especialmente en las categorías TA0001 (Initial Access), T1190 (Exploit Public-Facing Application), TA0011 (Command and Control) y TA0010 (Exfiltration).

Los IoC (Indicators of Compromise) incluyen patrones de DNS, cadenas URL asociadas a payloads de malware y certificados SSL autofirmados vinculados a los dominios descubiertos. Se ha identificado el uso recurrente de frameworks como Cobalt Strike para la post-explotación, así como scripts personalizados para la evasión de controles EDR y la ofuscación de tráfico de red.

#### Impacto y Riesgos

El descubrimiento de estos dominios revela el alcance y la persistencia de las operaciones de Salt Typhoon. El acceso prolongado a sistemas críticos y la capacidad de mantener infraestructuras C2 durante largos periodos incrementa el riesgo de robo de información confidencial, sabotaje y manipulación de datos. Las campañas han afectado a organizaciones de más de 30 países, con un impacto económico estimado en cientos de millones de euros debido a pérdida de propiedad intelectual, interrupción operativa y costes de remediación.

La capacidad del grupo para operar sin ser detectado durante años evidencia la sofisticación de sus técnicas de evasión y la necesidad de una vigilancia continua por parte de los equipos SOC y CISO. Además, la explotación de vulnerabilidades zero-day sitúa a Salt Typhoon entre los actores más peligrosos del panorama actual, con potencial para provocar brechas que incumplan normativas como el GDPR y NIS2.

#### Medidas de Mitigación y Recomendaciones

Ante esta amenaza, se recomienda:

– Actualización inmediata de sistemas afectados por CVE conocidas (especialmente CVE-2023-2868).
– Monitorización proactiva de logs DNS y de tráfico saliente para detectar conexiones a los dominios identificados.
– Implementación de reglas YARA y firmas IDS/IPS personalizadas para los TTPs observados.
– Revisión de configuraciones de correo electrónico y segmentación de redes críticas.
– Realización de threat hunting regular, con especial atención a las técnicas de persistencia y exfiltración documentadas por MITRE ATT&CK.
– Refuerzo de la formación y concienciación del personal frente a técnicas de spear phishing.

#### Opinión de Expertos

Expertos del sector, como los analistas de Mandiant y Silent Push, coinciden en señalar que la capacidad de Salt Typhoon para mantener infraestructura activa durante años demuestra la necesidad de una evolución en las estrategias de threat intelligence y threat hunting. “Las campañas de este tipo de APT requieren una defensa en profundidad y un enfoque proactivo, no reactivo”, señala un analista senior de Mandiant.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la importancia de una gestión proactiva de vulnerabilidades y una monitorización continua de la infraestructura digital. El incumplimiento de normativas como GDPR o la inminente NIS2 puede acarrear sanciones económicas y un grave daño reputacional. Los usuarios deben extremar la precaución ante correos sospechosos y mantener actualizados sus sistemas y dispositivos.

#### Conclusiones

El descubrimiento de dominios utilizados por Salt Typhoon desde 2020 redefine los límites temporales y técnicos de las operaciones de ciberespionaje chino. Las organizaciones deben asumir que los actores más avanzados actúan con paciencia y sofisticación, lo que exige una vigilancia continua, inteligencia de amenazas de alta calidad y una respuesta ágil ante incidentes.

(Fuente: feeds.feedburner.com)