Organizações governamentais e de telecomunicações na África, Oriente Médio e Ásia têm sido alvo, nos últimos dois anos e meio, de um ator estatal alinhado à China, até então desconhecido, identificado como Phantom Taurus.
Segundo Lior Rochberger, pesquisador da Unit 42, da Palo Alto Networks, "as áreas de interesse do Phantom Taurus englobam ministérios das relações exteriores, embaixadas, eventos geopolíticos e operações militares".
O principal objetivo do grupo é a espionagem, com ataques que demonstram furtividade, persistência e capacidade rápida de adaptação nas táticas, técnicas e procedimentos (TTPs).
O grupo foi inicialmente detalhado pela empresa de cibersegurança em junho de 2023, sob a designação CL-STA-0043.
Em maio do ano seguinte, passou a ser classificado como grupo temporário TGR-STA-0043, após investigações que revelaram esforços contínuos de ciberespionagem contra entidades governamentais desde, pelo menos, o final de 2022.
Essa operação foi batizada de Operation Diplomatic Specter.
A Unit 42 afirma que seu acompanhamento contínuo forneceu evidências suficientes para caracterizar o Phantom Taurus como um novo ator de ameaça, cujo objetivo principal é coletar inteligência a longo prazo e obter dados confidenciais de alvos estrategicamente relevantes para a China, tanto do ponto de vista econômico quanto geopolítico.
"O grupo demonstra interesse em comunicações diplomáticas, inteligência ligada à defesa e operações de ministérios governamentais críticos", afirmou a empresa.
"O timing e o alcance das operações frequentemente coincidem com grandes eventos globais e questões de segurança regionais."
Esse comportamento é bastante revelador, especialmente porque outros grupos chineses de hackers adotam estratégias semelhantes.
Por exemplo, o adversário identificado pela Recorded Future como RedNovember também tem como alvo entidades em Taiwan e Panamá, em momentos próximos a eventos geopolíticos e militares de interesse estratégico para a China.
O modus operandi do Phantom Taurus se destaca pelo uso de ferramentas e técnicas customizadas, raramente observadas no cenário de ameaças.
Entre elas, uma suíte de malware inédita, chamada NET-STAR, desenvolvida em .NET para atacar servidores web Internet Information Services (IIS).
Apesar disso, o grupo utiliza uma infraestrutura operacional compartilhada que já foi empregada por outras ameaças, como AT27 (também conhecido como Iron Taurus), APT41 (Starchy Taurus ou Winnti) e Mustang Panda (Stately Taurus).
Curiosamente, componentes dessa infraestrutura não foram detectados em atividades de outros grupos, sugerindo uma espécie de “compartimentalização operacional” dentro desse ecossistema compartilhado.
A forma exata de acesso inicial ainda não está clara.
No entanto, intrusões anteriores exploraram vulnerabilidades em servidores on-premises do IIS e Microsoft Exchange, abusando de falhas como ProxyLogon e ProxyShell para se infiltrar nas redes-alvo.
Outro ponto importante é a mudança na coleta de dados.
O grupo tem passado do roubo de e-mails para o ataque direto a bancos de dados, utilizando scripts em batch que se conectam a servidores SQL, exportam resultados em arquivos CSV e encerram a conexão.
A execução desses scripts ocorre via infraestrutura Windows Management Instrumentation (WMI).
De acordo com a Unit 42, esse método tem sido usado para vasculhar meticulosamente documentos e informações relacionadas a países específicos, como Afeganistão e Paquistão.
Nos ataques recentes, o Phantom Taurus também empregou o NET-STAR, que consiste em três backdoors baseados na web, cada um com funções específicas para manter o acesso ao ambiente IIS comprometido:
- IIServerCore: backdoor modular e fileless carregado por meio de um web shell ASPX, capaz de executar comandos e payloads em memória e enviar resultados via um canal criptografado de comando e controle (C2).
- AssemblyExecuter V1: responsável por carregar e executar payloads adicionais em .NET na memória.
- AssemblyExecuter V2: versão aprimorada que, além das funções do V1, consegue contornar mecanismos como Antimalware Scan Interface (AMSI) e Event Tracing for Windows (ETW).
A Unit 42 ressaltou que a suíte NET-STAR demonstra técnicas avançadas de evasão e profundo conhecimento da arquitetura .NET, configurando uma ameaça significativa para servidores expostos na internet.
O IIServerCore também inclui um comando chamado *changeLastModified*, que indica a presença de capacidades de timestomping — uma técnica para confundir analistas de segurança e ferramentas de perícia digital.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...