Il gruppo di hacker chiamato Phantom Taurus, recentemente identificato, rappresenta una nuova minaccia informatica collegata alla Cina, con attacchi mirati a governi e organizzazioni di telecomunicazione in Africa, Medio Oriente e Asia. Questo attore si è distinto negli ultimi due anni e mezzo per la sua capacità di agire nell’ombra, adattando rapidamente le proprie tattiche, tecniche e procedure per scopi di spionaggio.

Gli obiettivi principali di Phantom Taurus sono i ministeri degli affari esteri, le ambasciate, gli eventi geopolitici e le operazioni militari. Il fine ultimo è la raccolta di informazioni riservate di particolare interesse strategico per la Cina, tanto dal punto di vista economico che geopolitico. Le operazioni di questo gruppo spesso coincidono con eventi globali significativi o crisi regionali, dimostrando una pianificazione attenta e allineata ai principali interessi nazionali cinesi.

Peculiarità tecniche

Una delle peculiarità tecniche più rilevanti è l’uso di una suite malware inedita chiamata NET-STAR, sviluppata in .NET e indirizzata ai server Internet Information Services (IIS). Questa suite comprende diversi backdoor web, tra cui IIServerCore, un backdoor modulare fileless che permette l’esecuzione in memoria di comandi e payload, e AssemblyExecuter in due versioni, di cui la più recente è in grado di eludere sistemi di difesa come AMSI e ETW. Queste tecniche avanzate mostrano una profonda conoscenza dell’architettura .NET e una notevole capacità di evasione delle difese di sicurezza.

Il gruppo si avvale anche di infrastrutture operative condivise con altri attori noti della scena cinese, come APT41 e Mustang Panda, ma mantiene una compartimentazione operativa che rende difficile collegare direttamente le attività tra loro. L’accesso iniziale ai sistemi delle vittime avviene spesso sfruttando vulnerabilità note di server IIS e Microsoft Exchange, come ProxyLogon e ProxyShell, ma gli esperti sottolineano che la creatività e la determinazione del gruppo potrebbero portare in futuro all’adozione di nuove tecniche di attacco.

Tecniche di esfiltrazione dati

Un altro elemento distintivo delle campagne di Phantom Taurus è il passaggio dall’esfiltrazione di email al targeting diretto di database tramite script batch che permettono l’accesso, l’estrazione e la chiusura di sessioni SQL, spesso utilizzando l’infrastruttura Windows Management Instrumentation (WMI). Questa metodologia consente di ricercare documenti e informazioni di interesse legate a paesi specifici, come Afghanistan e Pakistan.

Le attività di Phantom Taurus e la diffusione di malware sofisticati come NET-STAR rappresentano una minaccia concreta per le organizzazioni governative e critiche, sottolineando l’importanza di una difesa proattiva e aggiornata contro attacchi di cyber spionaggio sempre più evoluti.