Un grup cibernetic asociat Chinei, denumit Phantom Taurus, a fost implicat în ultimele două luni în atacuri de spionaj informatic asupra unor instituții guvernamentale și companii de telecomunicații din Africa, Orientul Mijlociu și Asia. Activitatea acestuia arată o sofisticare crescută în utilizarea malware-urilor de ultimă generație și o strategie de infiltrație subtilă, adaptată pentru a evita detectarea și a colecta informații sensibile în mod discret.

Atacurile Phantom Taurus despre care au raportat experți ai Palo Alto Networks vizează în special ministere de externe, ambasade și organizații implicate în afaceri geopolitice, precum și structuri militare. Grupul prioritizează infiltrarea pe termen lung, folosind tehnici de cercetare avansate și instrumente personalizate pentru compromiterea serverelor de tip IIS.

Activitatea a fost inițial identificată în 2023 sub denumirea provizorie CL-STA-0043, fiind apoi reclasificată drept TGR-STA-0043 după descoperirea campaniei „Operation Diplomatic Specter”, datând din 2022. Recent, specialiștii de securitate au confirmat că Phantom Taurus acționează ca un actor independent, având ca scop sprijinirea intereselor strategice ale Chinei prin accesul la date confidențiale.

Un element remarcabil al campaniei îl constituie utilizarea unor instrumente de tip malware personalizate, greu detectabile, precum NET-STAR. Acest pachet include programe avansate pentru compromiterea serverelor Microsoft IIS și chiar funcții de „timestomping”, menite să îngreuneze analiza criminalistică.

Exploatarea vulnerabilităților și tacticile sofisticate

Cercetătorii au observat reutilizarea infrastructurii cibernetice utilizate și de alte grupuri chineze, precum Iron Taurus, APT41 sau Mustang Panda. În plus, Phantom Taurus adoptă o abordare de compartimentare operatională strictă, pentru a limita suprapunerea și a evita supravegherea.

Deși vectorul de acces inițial rămâne incert, există indicii că atacatorii profită de vulnerabilități cunoscute, precum ProxyLogon și ProxyShell, pentru a compromite servere IIS și Microsoft Exchange. Ulterior, aceștia trec la acces direct la baze de date, folosind scripturi automate pentru extragerea și exportarea datelor.

Instrumentele malware utilizate includ module precum IIServerCore, care permite executarea de comenzi în memorie, și AssemblyExecuter, capabile să încărceze payload-uri suplimentare, ocolind mecanismele de securitate precum AMSI și ETW. Funcții de „timestomping” sunt folosite pentru a altera timpul fișierelor și a complica investigațiile digitale.

Concluzie

Activitatea Phantom Taurus evidențiază o evoluție a tacticilor de spionaj cibernetic, implicând utilizarea unor instrumente complexe și tehnici avansate de infiltrare. Rămâne esențială monitorizarea constantă a acestui peisaj în continuă schimbare pentru a detecta și contracara orice încercare de compromise. Exactitatea și actualizarea informațiilor sunt cruciale în menținerea securității cibernetice.