資安公司Silent Push於9月8日發布報告，揭露45個先前未報導的域名，與中國國家級威脅群組Salt Typhoon（鹽颱風）及相關群組UNC4841有關聯，這些域名部分追溯至2020年，用於長期隱密存取目標組織的網路間諜活動。研究顯示，域名由假名及虛假地址註冊，與中國人民共和國（PRC）國家安全部（MSS）有關，凸顯中國APT攻擊的持續性及基礎設施重疊。專家警告，台灣作為地緣政治敏感地區，電信及政府單位需檢查DNS日誌，防範潛在入侵。

 

 

Silent Push研究團隊透過WHOIS資料分析，從Trend Micro去年11月報告的Salt Typhoon惡意軟體C2主機名（如Demodex根套件、Snappybee及Ghostspider後門）出發，發現註冊模式：多數域名使用ProtonMail電子郵件地址註冊，結合偽造美國地址及英文假名，顯示高度組織性。報告指出：「我們以高信心評估，這些域名由Salt Typhoon或密切相關的中國資助威脅行為者設立。」其中45個域名，多數未曾與APT活動連結，註冊者包括「Monica Burch」（地址：洛杉磯虛假地址1294 Koontz Lane）註冊的最舊域名onlineeylity[.]com（2020年5月19日）；「Shawn Francis」（邁阿密假地址）註冊9個域名，如asparticrooftop[.]com及cloudprocenter[.]com；「Tommie Arnold」（邁阿密另一假地址）註冊incisivelyfut[.]com及sinceretehope[.]com。這些假人設共享獨特細節，確認為同一行為者。

 

 

Salt Typhoon（又名GhostEmperor、FamousSparrow、UNC2286）於2024年成名，入侵全球80多國逾200個目標，包括美國電信巨頭Verizon、AT&T、T-Mobile、Lumen等，竊取百萬用戶元資料及法院授權竊聽系統存取權。FBI及CISA確認，此群組與MSS有關，活動至少自2019年起，目標為反情報、企業智慧財產及關鍵基礎設施。Silent Push強調，Salt Typhoon可潛伏一年以上未被偵測，2024年入侵美國電信前已存在。 UNC4841則以2023年利用Barracuda電郵安全設備漏洞CVE-2023-2868（CVSS 9.8）入侵網路聞名，目標包括政府組織。報告發現兩群組基礎設施重疊，9個域名連結UNC4841，其中chekoodver[.]com（2025年4月30日註冊，使用ethdbnsnmskndjad55@protonmail[.]com）暗示UNC4841近期活躍，為2023年10月以來首例新域名。

 

 

這些域名雖可能已停止使用，但Silent Push警告：「所有與Salt Typhoon及UNC4841相關域名均具重大風險。」攻擊者利用域名建立C2通道，維持持久存取，竊取敏感資料。報告列出所有域名及相關低密度IP地址（部分已指向sinkhole），敦促組織檢查過去5年DNS日誌及子域名請求，及IP存取記錄。研究團隊觀察，域名指向高密度IP，但部分已沉陷，顯示防禦者已部分控制。一域名newhkdaily[.]com似香港報紙，但可能為假冒媒體、心理戰（PSYOP）或宣傳前線，需進一步調查。

 

 

Silent Push CEO Zach Edwards表示，此發現確認Salt Typhoon 2024攻擊非首次，活動自2020年起，強調中國APT的長期策略。報告呼籲其他研究者比對遙測及日誌，提升對威脅群組的集體理解。The Register報導，此基礎設施重疊顯示Salt Typhoon與UNC4841共享資源，疑為MSS多團隊操作，針對電信、政府、交通、住宿及軍事基礎設施。 Bloomberg指出，Salt Typhoon入侵美國電信一年後才曝光，凸顯偵測挑戰。美國財政部2025年1月制裁Sichuan Juxinhe Network Technology等三家中國公司，指其直接參與Salt Typhoon攻擊。

 

 

台灣資安專家分析，此事件對本土威脅極大。台灣作為中國地緣政治目標，電信及政府網路常遭APT攻擊，如先前APT41事件。行政院國家資通安全會報表示，將監測Salt Typhoon相關指標，呼籲企業及單位檢查DNS日誌、修補Barracuda及Cisco漏洞（如CVE-2023-20198、CVE-2023-20273），並啟用零信任架構。趨勢科技台灣區總經理洪偉淦受訪時指出：「Salt Typhoon利用假域名及ProtonMail隱匿，台灣電信業需強化邊緣裝置防護，監控異常C2流量，並與國際共享IOC。」他建議使用SIEM系統整合Silent Push饋送，定期紅隊測試，防範持久化攻擊。

 

 

 

此揭露與近期資安趨勢呼應，如CISA、FBI及NSA警告中國「全球間諜系統」鎖定路由器；Sitecore零日漏洞引發ViewState攻擊；詐騙者利用Grok散布惡意連結，顯示國家級APT的隱密性及多樣化。Silent Push強調，主動措施至關重要，組織應比對45域名及IP，防範中國間諜。台灣政府可加強與五眼聯盟合作，推動資安法規，強制電信業報告入侵。展望未來，隨著5G及IoT擴張，APT攻擊將更頻繁，企業需平衡創新與防禦，確保關鍵基礎設施安全。