Las organizaciones gubernamentales y de telecomunicaciones de África, Oriente Medio y Asia se han convertido en el objetivo de un actor estado-nación alineado con China, previamente indocumentado, apodado Tauro fantasma durante los últimos dos años y medio.
«Las principales áreas de enfoque de Phantom Taurus incluyen los ministerios de asuntos exteriores, las embajadas, los eventos geopolíticos y las operaciones militares», dijo Lior Rochberger, investigador de la Unidad 42 de Palo Alto Networks dijo . «El objetivo principal del grupo es el espionaje. Sus ataques demuestran sigilo, persistencia y capacidad para adaptar rápidamente sus tácticas, técnicas y procedimientos (TTP)».
Vale la pena señalar que el grupo de piratas informáticos fue detallado por primera vez por la empresa de ciberseguridad en junio de 2023 con el apodo CL-STA-0043 . Luego, en mayo pasado, el grupo de amenazas pasó a ser un grupo temporal, TGR-STA-0043 , tras las revelaciones sobre sus esfuerzos sostenidos de ciberespionaje dirigidos a entidades gubernamentales desde al menos finales de 2022 como parte de una campaña denominada Operación Espectro Diplomático.
La Unidad 42 dijo que su observación continua del grupo arrojó pruebas suficientes para clasificarlo como un nuevo actor de amenazas cuyo objetivo principal es permitir la recopilación de inteligencia a largo plazo y obtener datos confidenciales de objetivos que son de interés estratégico para China, tanto económica como geopolíticamente.
«El grupo se interesa por las comunicaciones diplomáticas, la inteligencia relacionada con la defensa y las operaciones de los ministerios gubernamentales críticos», dijo la empresa. «El momento y el alcance de las operaciones del grupo suelen coincidir con los principales acontecimientos mundiales y los asuntos de seguridad regionales».
Este aspecto es particularmente revelador, sobre todo porque otros grupos de hackers chinos también han adoptado un enfoque similar. Por ejemplo, un nuevo adversario rastreado por Recorded Future llamado RedNovember es juzgado haber atacado entidades en Taiwán y Panamá cercanas a «eventos geopolíticos y militares de interés estratégico clave para China».
El modus operandi de Phantom Taurus también se destaca por el uso de herramientas y técnicas desarrolladas a medida que rara vez se observan en el panorama de las amenazas. Esto incluye una suite de malware a medida nunca antes vista denominada NET-STAR. Desarrollado en .NET, el programa está diseñado para atacar los servidores web de los Servicios de Información de Internet (IIS).
Dicho esto, el equipo de hackers ha confiado en una infraestructura operativa compartida que anteriormente habían empleado grupos como AT27 (también conocido como Iron Taurus), APT41 (también conocido como Starchy Taurus o Winnti) y Mustang Panda (también conocido como Stately Taurus). Por el contrario, los componentes de la infraestructura utilizados por el actor de la amenaza no se han detectado en operaciones realizadas por otros, lo que indica algún tipo de «compartimentación operativa» dentro del ecosistema compartido.
El vector exacto de acceso inicial no está claro, pero las intrusiones anteriores han convertido en armas servidores vulnerables de Internet Information Services (IIS) y Microsoft Exchange locales, abusando de fallas como ProxyLogon y ProxyShell, para infiltrarse en las redes objetivo.
Otra faceta importante de los ataques es el paso de recopilar correos electrónicos a atacar directamente las bases de datos mediante un script por lotes que permite conectarse a una base de datos de SQL Server, exportar los resultados en forma de archivo CSV y terminar la conexión. El script se ejecuta con la instrumentación de administración de Windows ( WMI ) infraestructura.
La Unidad 42 dijo que el actor de la amenaza utilizó este método para buscar metódicamente documentos de interés e información relacionada con países específicos como Afganistán y Pakistán.
Los ataques recientes organizados por Phantom Taurus también han aprovechado NET-STAR, que consiste en tres puertas traseras basadas en la web, cada una de las cuales realiza una función específica mientras mantiene el acceso al entorno de IIS comprometido -
- II Server Core , una puerta trasera modular sin archivos que se carga mediante un shell web ASPX que admite la ejecución en memoria de argumentos de línea de comandos, comandos arbitrarios y cargas útiles, y transmite los resultados en un canal de comunicación cifrado de comando y control (C2)
- AssemblyExecuter V1 , que carga y ejecuta cargas útiles de.NET adicionales en la memoria
- AssemblyExecuter V2 , una versión mejorada de AssemblyExecuter V1 que también incluye la capacidad de eludir la interfaz de escaneo antimalware (AMSI) y el rastreo de eventos para Windows (ETW)
«La suite de malware NET-STAR demuestra las avanzadas técnicas de evasión de Phantom Taurus y un profundo conocimiento de la arquitectura.NET, lo que representa una amenaza importante para los servidores conectados a Internet», afirma Unit 42. «IIServerCore también admite un comando llamado ChangeLastModified. Esto sugiere que el malware tiene la capacidad de reducir el tiempo de forma activa, diseñada para confundir a los analistas de seguridad con las herramientas forenses digitales».