Un grup cibernetic asociat Chinei, denumit Phantom Taurus, a desfășurat în ultimii doi ani atacuri de spionaj asupra instituțiilor guvernamentale și companiilor de telecomunicații din Africa, Orientul Mijlociu și Asia.
Atacuri de spionaj cu malware „de ultimă generație”
Experții în securitate de la Unit 42, divizia de cercetare Palo Alto Networks, au documentat activitatea Phantom Taurus, descriindu-l ca pe un actor statal ce prioritizează infiltrarea în ministere de externe, ambasade, organizații implicate în evenimente geopolitice și structuri militare.
Potrivit analistului Lior Rochberger, obiectivul principal al grupului este colectarea de informații sensibile prin operațiuni discrete și persistente, adaptându-și rapid tacticile pentru a evita detectarea.
Primele semnalări au apărut în 2023, când grupul era cunoscut sub denumirea provizorie CL-STA-0043. Ulterior, a fost reclasificat drept TGR-STA-0043, odată cu dovezile privind o campanie de spionaj denumită „Operation Diplomatic Specter”, desfășurată cel puțin din 2022.
Observațiile recente au confirmat că Phantom Taurus acționează ca un nou actor independent, cu misiunea de a sprijini interesele strategice ale Chinei prin accesarea pe termen lung a datelor confidențiale.
Un element definitoriu al campaniei îl reprezintă utilizarea unui set de instrumente personalizate, greu de detectat în peisajul cibernetic global.
Cea mai notabilă descoperire este NET-STAR, un ansamblu de programe malware create în .NET, capabile să compromită serverele Microsoft Internet Information Services (IIS).
Exploatarea vulnerabilităților cu tactici sofisticate
Cercetătorii au remarcat că Phantom Taurus reutilizează infrastructură cibernetică întâlnită și la alte grupuri chineze, precum Iron Taurus (AT27), APT41 sau Mustang Panda, dar menține un nivel ridicat de compartimentare operațională.
Acest lucru sugerează o coordonare atentă între actorii implicați, dar și dorința de a evita suprapunerea directă între campanii.
Vectorul inițial de acces nu este clar, însă există indicii că atacatorii profită de vulnerabilități cunoscute, cum ar fi ProxyLogon și ProxyShell, pentru a compromite servere IIS și Microsoft Exchange.
Ulterior, Phantom Taurus trece de la interceptarea e-mailurilor la acces direct asupra bazelor de date, folosind scripturi care extrag informațiile și le exportă în fișiere CSV.
NET-STAR integrează mai multe tipuri de backdoor-uri, printre care:
- IIServerCore, un modul fileless ce permite execuția de comenzi direct în memorie și comunică prin canale C2 criptate.
- AssemblyExecuter V1 și V2, versiuni care pot încărca payload-uri suplimentare, cu abilități de a ocoli mecanismele de securitate AMSI și ETW.
Instrumentele includ chiar și funcții de „timestomping”, menite să modifice datele fișierelor și să îngreuneze analiza criminalistică digitală.