Phantom Taurus, grupul cibernetic asociat Chinei, a intensificat în ultimii doi ani atacuri de spionaj asupra instituțiilor guvernamentale și companiilor de telecomunicații din Africa, Orientul Mijlociu și Asia. Analiza recentă a experţilor Palo Alto Networks confirmă că operaţiunile vizează colectarea de informații sensibile prin malware de ultimă generație.

Atacuri de spionaj cu malware de ultimă generație
Phantom Taurus folosește un set de instrumente personalizate, greu de detectat în mediul global. Malware‑ul .NET denumit NET‑STAR compromite serverele Microsoft IIS și Exchange, facilitând accesul neautorizat pe termen lung.

Operaţiunea Diplomatic Specter
Campania, iniţial catalogată ca CL‑STA‑0043 și ulterior reclasificată TGR‑STA‑0043, a vizat ministere de externe, ambasade și structuri militare. Scopul principal al grupului este extragerea discretă a datelor confidenţiale, fără a declanşa alarme de securitate.

Instrumentele malware NET‑STAR
NET‑STAR integrează mai multe module backdoor, concepute pentru execuţie fileless și comunicaţii criptate. Acestea includ tehnici de timestomping pentru a masca activitatea şi sărirea mecanismelor AMSI și ETW.

– IIServerCore – modul fileless ce permite execuţia de comenzi în memorie.
– AssemblyExecuter V1 – încarcă payload‑uri suplimentare, ocolind protecţiile de tip AMSI.
– AssemblyExecuter V2 – versiune îmbunătăţită, suportă comunicaţii C2 criptate.

Exploatarea vulnerabilităților cunoscute
Phantom Taurus profită de defecte precum ProxyLogon și ProxyShell pentru a accesa serverele vulnerabile. După compromiterea iniţială, grupul trece de la interceptarea e‑mailurilor la extragerea directă a bazelor de date în fişiere CSV.

Infrastructura și compartimentarea operațională
Cercetătorii au observat reutilizarea unor servere de comandă şi control utilizate de alte grupuri chineze, cum ar fi Iron Taurus și APT41. Totuşi, Phantom Taurus menţine o compartimentare strictă, evitând suprapunerea directă a campaniilor.

Importanța monitorizării continue rămâne esențială pentru detectarea și neutralizarea activităților Phantom Taurus. Actualizarea constantă a sistemelor și vigilenţa în faţa noilor tehnici de spionaj cibernetic sunt cruciale pentru protecţia datelor sensibile.