Kineska hakerska grupa koju istraživači prate pod nazivom Phantom Taurus već više od dvije godine izvodi sajber špijunažu nad vladinim i telekomunikacionim organizacijama, navodi Palo Alto Networks.
Prvi put je uočena 2023. godine, ali je tek nedavno povezana sa kineskim hakerskim grupama zahvaljujući zajedničkoj infrastrukturi. Ipak, njene taktike, tehnike i procedure (TTPs) razlikuju se od uobičajenih metoda hakera iz Kine. Prema istraživačima, ova kombinacija omogućava grupi da sprovodi prikrivene operacije i zadrži dugorošan pristup ključnim metama.
Phantom Taurus koristi infrastrukturu kojom ekskluzivno raspolažu kineski APT-ovi, a cilja visokovrijedne organizacije, uključujući ministarstva spoljnih poslova i ambasade, što je u skladu sa ekonomskim i geopolitičkim interesima Kine. Ono što ga razlikuje od drugih kineskih hakera je upotreba sopstvenih TTP-ova i malvera – poput porodica Specter i Net-Star, kao i alata Ntospy. Pored toga, u napadima koristi i tipične kineske alate kao što su China Chopper, Potato suite i Impacket.
Grupa je primijećena kako kompromituje imejl servere radi krađe osjetljivih poruka, ali i direktno napada baze podataka u organizacijama širom Afrike, Bliskog Istoka i Azije. Tokom 2025. godine počela je da koristi Net-Star, .NET malver namijenjen napadima na IIS web servere, koji uključuje tri web pozadinska vrata: IIServerCore (fileless backdoor) i dvije varijante AssemblyExecuter loadera.
IIServerCore funkcioniše isključivo u memoriji i može primati te izvršavati dodatne payload-e i argumente, kao i vraćati rezultate komandno-kontrolnom (C&C) serveru. Podržava komande za rad sa fajlovima, pristup bazama podataka, izvršavanje proizvoljnog koda, upravljanje web shell-ovima, zaobilaženje bezbjednosnih rješenja, učitavanje malvera direktno u memoriju i enkripciju komunikacije sa C&C infrastrukturom.
Prva varijanta loadera, AssemblyExecuter V1, omogućava izvršavanje drugih .NET komponenti u memoriji, što napadačima daje mogućnost da nakon kompromitacije dinamički učitaju dodatni maliciozni kod. AssemblyExecuter V2 ima istu osnovnu funkcionalnost, ali i napredne tehnike izbjegavanja detekcije, uključujući metode zaobilaženja Windows mehanizama AMSI i ETW.
„Primijetili smo da grupa pokazuje veliko interesovanje za diplomatsku komunikaciju, obavještajne podatke vezane za odbranu i funkcionisanje ključnih državnih ministarstava. Vrijeme i obim njihovih operacija često se poklapaju sa važnim globalnim događajima i regionalnim bezbjednosnim pitanjima“, navodi Palo Alto Networks.
Izvor: SecurityWeek
