02/10/25
По данным Palo Alto Networks Unit 42, интерес злоумышленников сосредоточен на министерствах иностранных дел, посольствах, военных операциях и дипломатической переписке. Главная цель атак — сбор конфиденциальной информации для долгосрочной разведки в интересах Китая.
Unit 42 впервые зафиксировала активность этой группы в 2023 году под условным обозначением CL-STA-0043, пишут в Securitylab. Позже, в 2024-м, операции объединили в кампанию Operation Diplomatic Specter, после чего исследователи выделили Phantom Taurus как самостоятельного игрока. Атаки совпадали по времени с международными кризисами и региональными конфликтами, что указывает на тесную привязку к геополитической повестке.
Особенностью Phantom Taurus является использование собственной вредоносной платформы NET-STAR, написанной на .NET и ориентированной на компрометацию IIS-серверов. Набор включает три веб-бэкдора: IIServerCore, обеспечивающий выполнение команд напрямую в памяти и передачу данных по зашифрованному каналу; AssemblyExecuter V1 для загрузки дополнительных .NET-компонентов; и AssemblyExecuter V2, дополненный обходом AMSI и ETW. В IIServerCore встроена функция изменения временных меток файлов, которая позволяет усложнять работу аналитиков и систем цифровой экспертизы.
Для проникновения Phantom Taurus эксплуатировала уязвимости в Microsoft Exchange и IIS, в частности ProxyLogon и ProxyShell. Эксперты не исключают, что в будущем группа перейдёт к новым способам компрометации, поскольку её участники демонстрируют гибкость и умение адаптироваться к защитным мерам.
В ряде случаев атаки переходили от сбора переписки к прямому извлечению содержимого баз данных. Для этого применялся пакетный скрипт, позволяющий подключаться к SQL Server, выгружать результаты в формате CSV и завершать соединение, а выполнялся он через инфраструктуру WMI.
Примечательно, что инфраструктура Phantom Taurus частично пересекается с ресурсами, которые в разное время использовались группировками AT27 (Iron Taurus), APT41 (Starchy Taurus, Winnti) и Mustang Panda (Stately Taurus). Однако наблюдается и строгая изоляция некоторых компонентов, что указывает на разделение зон ответственности внутри китайского кибершпионского сообщества.
Исследователи отмечают, что злоумышленники проявляют особый интерес к документам, связанным с Афганистаном и Пакистаном, а также к информации оборонного характера. Подобная избирательность и совпадение с ключевыми международными событиями перекликаются с практикой других китайских группировок, например RedNovember, которая атаковала структуры в Тайване и Панаме в период политических и военных обострений.
