Source: DomainTools (rapport d’analyse). Contexte: publication d’un dossier technique consolidant l’attribution, les campagnes, l’infrastructure, les IOCs et TTPs de Salt Typhoon, un groupe APT chinois aligné sur le MSS.

🚨 Salt Typhoon est présenté comme une capacité d’espionnage SIGINT de longue durée, opérant depuis au moins 2019, ciblant en priorité les télécommunications, des réseaux de Garde nationale US, et des fournisseurs européens/alliés. Le groupe combine exploitation d’équipements de bord (routeurs, VPN, firewalls), implants firmware/rootkits pour la persistance, et collecte de métadonnées, configs VoIP et journaux d’interception légale. Il opère via un modèle État–sous‑traitants (fronts et sociétés liées) offrant dénégation plausible, avec des liens confirmés vers i‑SOON.

🧩 Organisation & écosystème: Salt Typhoon est aligné MSS (chevauchements possibles avec PLA/SSF). Il s’appuie sur des entités chinoises telles que Sichuan Juxinhe, Beijing Huanyu Tianqiong, Sichuan Zhixin Ruijie et l’écosystème i‑SOON pour l’enregistrement de domaines, la location d’infrastructures, le support outillage et des C2 clés en main. Des individus nommés et sanctionnés, dont Yin Kecheng (opérateur technique/C2) et Zhou Shuai “Coldface” (courtier, logistique et revente d’accès/données), sont mis en avant.

📡 Campagnes et impact clés:

  • États‑Unis (2024): intrusions chez au moins une douzaine d’opérateurs télécom, et dans des réseaux de Gardes nationales; exfiltration de CDRs, métadonnées abonnés, configs VoIP et journaux d’interception légale.
  • Royaume‑Uni (2023–2024): compromission d’entités gouvernement, militaire, transport et télécom; collecte de routage, métadonnées de géolocalisation et détails de messageries sécurisées.
  • UE (2022–2023): détournements/implants routeurs chez des ISPs de taille petite/moyenne (persistance via firmware/backdoors).

🔗 Infrastructure & tradecraft: L’infrastructure de domaines est industrialisée, souvent enregistrée avec personas US fictifs et adresses ProtonMail, utilisant des DNS et certificats DV commerciaux (GoDaddy, Sectigo) pour paraître légitime. Des lots de domaines sont provisionnés avec des modèles nominaux récurrents et une centralisation DNS (pivots robustes pour l’attribution). Le rapport insiste sur des loupes OPSEC (réutilisation de personas, NS/CN/IP et fournisseurs limités) facilitant le pistage par passive DNS, cert pivots et télémétrie registrars.

🧪 IOCs (extraits) et artefacts d’infrastructure:

  • Registre/Whois: faux identités telles que “Shawn Francis”, “Monica Burch”, “Tommie Arnold”, “Larry Smith”, “Geralyn Pickens”; emails ProtonMail (ex: oookkkwww@protonmail.com, iumv983uv1idm90v2@protonmail.com).
  • Exemples de domaines: dateupdata.com, e-forwardviewupdata.com, requiredvalue.com, availabilitydesired.us, solveblemten.com, lookpumrron.com, xdmgwctese.com, clubworkmistake.com.
  • DNS/NS récurrents: irdns.mars.orderbox-dns.com; ns4.1domainregistry.com; ns1.value-domain.com; earth.monovm.com, mars.monovm.com.
  • Clusters IP: 162.251.82.125; 162.251.82.252; 172.64.53.3.
  • Certificats SSL: émetteurs fréquents GoDaddy Secure CA – G2 et Sectigo RSA DV; CN observés incluant *.myorderbox.com; durées ~366 jours.
  • Outils/malwares mentionnés: implants routeurs/firmware (Demodex, SigRouter), China Chopper; usage de LOLBINs.
  • CVEs exploitées: Cisco IOS XE Web UI (CVE‑2023‑20198); Ivanti Connect Secure (CVE‑2023‑35082); Palo Alto PAN‑OS GlobalProtect (série CVE‑2024‑3400).

🛠️ TTPs (MITRE ATT&CK – extraits):

  • Initial Access: T1190 (Exploit Public-Facing App), T1078 (Valid Accounts)
  • Persistence: T1601.002 (Implant Internal Image/firmware), T1547 (Autostart)
  • Defense Evasion: T1014 (Rootkit), T1027 (Obfuscation), T1036 (Masquerading)
  • Credential Access/Discovery/Lateral: T1003 (Credential Dumping), T1046 (Network Service Scanning), T1021 (Remote Services)
  • Collection/Exfiltration/C2: T1602 (Data from Config Repos), T1041 (Exfil over C2), T1071.001 (Web protocols), T1105 (Ingress Tool Transfer)

Conclusion: il s’agit d’une analyse de menace détaillant une campagne APT sino‑étatique hybride (État–entreprises), visant l’espionnage SIGINT des télécoms et l’infrastructure C2 associée, avec un objectif principal de consolidation de l’attribution, de la détection et du threat modeling.

🧠 TTPs et IOCs détectés

TTP

[‘T1190 (Exploit Public-Facing Application)’, ‘T1078 (Valid Accounts)’, ‘T1601.002 (Implant Internal Image/firmware)’, ‘T1547 (Autostart Execution)’, ‘T1014 (Rootkit)’, ‘T1027 (Obfuscation)’, ‘T1036 (Masquerading)’, ‘T1003 (Credential Dumping)’, ‘T1046 (Network Service Scanning)’, ‘T1021 (Remote Services)’, ‘T1602 (Data from Configuration Repositories)’, ‘T1041 (Exfiltration Over C2 Channel)’, ‘T1071.001 (Web Protocols)’, ‘T1105 (Ingress Tool Transfer)’]

IOC

{‘domains’: [‘dateupdata.com’, ’e-forwardviewupdata.com’, ‘requiredvalue.com’, ‘availabilitydesired.us’, ‘solveblemten.com’, ’lookpumrron.com’, ‘xdmgwctese.com’, ‘clubworkmistake.com’], ‘ip_addresses’: [‘162.251.82.125’, ‘162.251.82.252’, ‘172.64.53.3’], ’emails’: [‘oookkkwww@protonmail.com’, ‘iumv983uv1idm90v2@protonmail.com’], ‘dns_ns’: [‘irdns.mars.orderbox-dns.com’, ’ns4.1domainregistry.com’, ’ns1.value-domain.com’, ’earth.monovm.com’, ‘mars.monovm.com’], ‘ssl_certificates’: [‘GoDaddy Secure CA – G2’, ‘Sectigo RSA DV’], ‘common_names’: [’*.myorderbox.com’]}

🔗 Source originale : https://dti.domaintools.com/inside-salt-typhoon-chinas-state-corporate-advanced-persistent-threat/