TLDR: (geralmente) não é possível fazer isso.
A única maneira de obter uma listagem de todos os subdomínios criados em um domínio é solicitar uma transferência de zona DNS de um servidor de nomes principal autoritativo para esse domínio. O objetivo principal das transferências de zona é permitir que os servidores de nomes secundários mantenham-se atualizados com todos os registros de recursos configurados no servidor de nomes principal. Por motivos de segurança, somente os hosts configurados como servidores de nomes secundários para um domínio estão autorizados a fazer uma transferência de zona do servidor de nomes principal.
Se eu tiver autorização para fazer uma transferência de zona, posso obter as informações que você procura usando o comando dig com AXFR como o tipo de solicitação, por exemplo, se o Google me autorizar a fazer a zona transferências de ns1.google.com (servidor de nomes principal autoritativo para a zona DNS responsável por googleusercontent.com domain), eu poderia executar o seguinte comando:
dig @ns1.google.com googleusercontent.com -t AXFR
No entanto, como não sou autorizado, recebo uma resposta Transferência com falha .