Китайская хакерская группа Phantom Taurus: новый игрок на арене кибершпионажа

Исследователи компании Palo Alto Networks идентифицировали ранее не документированную группу кибершпионажа, получившую название Phantom Taurus, чья деятельность соответствует интересам Китайской Народной Республики. На протяжении последних двух с половиной лет эксперты подразделения Unit 42 наблюдали за операциями этой группировки, нацеленными на правительственные и телекоммуникационные организации в Африке, на Ближнем Востоке и в Азии.

Описание

Особенностью Phantom Taurus является фокус на министерства иностранных дел, посольства, геополитические события и военные операции. Основная цель группы - шпионаж, а её атаки демонстрируют скрытность, устойчивость и способность быстро адаптировать тактики, техники и процедуры (TTPs). Отличительной чертой этой группировки на фоне других китайских APT (Advanced Persistent Threat - усовершенствованная постоянная угроза) является уникальный набор TTPs, позволяющий проводить высокоскрытные операции и сохранять долгосрочный доступ к критически важным целям.

Эволюция от кластера активности к формальному обозначению

Изначально активность группы отслеживалась под кодовым названием CL-STA-0043, а в мае 2024 года она была повышена до статуса временной группы TGR-STA-0043 с прозвищем Operation Diplomatic Specter. Постоянные наблюдения и сбор разведданных за последний год позволили накопить достаточные доказательства для классификации группы как нового субъекта угрозы - Phantom Taurus.

Процесс атрибуции и созревания кластера основан на attribution framework (рамки атрибуции) Unit 42. Анализ по Diamond Model (Алмазной модели) выявил три ключевых элемента: инфраструктура, жертвы и возможности. Phantom Taurus использует операционную инфраструктуру, которую ранее применяли исключительно китайские threat actors (субъекты угроз), включая Iron Taurus (APT27), Starchy Taurus (Winnti) и Stately Taurus (Mustang Panda). Однако конкретные компоненты инфраструктуры этой группы не наблюдались в операциях других акторов, что указывает на операционное разделение внутри этой общей экосистемы.

Смена тактики: от перехвата писем к прямой работе с базами данных

Наблюдения за Phantom Taurus выявили тактическую эволюцию, впервые замеченную в начале 2025 года. Если ранее группа сосредотачивалась на краже конкретных чувствительных писем с почтовых серверов, то теперь перешла к прямому таргетированию баз данных. Исследователи зафиксировали использование скрипта mssq.bat для подключения к целевой базе данных SQL Server и сбора информации. Скрипт работает под учетной записью системного администратора (sa), выполняет динамические SQL-запросы для поиска таблиц и ключевых слов, а результаты экспортирует в CSV-файл. Угроза использовала Windows Management Instrumentation (WMI) для выполнения скрипта на удаленном SQL-сервере, что демонстрирует адаптацию методов под конкретные цели.

Новый набор вредоносных программ NET-STAR

В своих последних операциях Phantom Taurus применяла ранее не документированный набор вредоносных программ для .NET, предназначенный для атак на веб-серверы Internet Information Services (IIS). Исследователи назвали этот набор NET-STAR на основе строки, найденной в путях PDB (Program Database - база данных программы). Набор демонстрирует продвинутые техники уклонения от обнаружения и глубокое понимание архитектуры .NET, представляя значительную угрозу для интернет-ориентированных серверов.

NET-STAR состоит из трех различных веб-бэкдоров, каждый из которых играет specific role (специфическую роль) в цепочке атаки, сохраняя устойчивость в среде IIS целевой системы:

IIServerCore: Файловый модульный бэкдор, поддерживающий выполнение в памяти аргументов командной строки, произвольных команд и полезных нагрузок.
AssemblyExecuter V1: Загружает и выполняет дополнительные полезные нагрузки .NET в памяти.
AssemblyExecuter V2: Улучшенная версия AssemblyExecuter V1, оснащенная возможностями обхода AMSI (Antimalware Scan Interface - интерфейс сканирования на вредоносное ПО) и ETW (Event Tracing for Windows - трассировка событий Windows).

IIServerCore: модульный бэкдор для IIS

IIServerCore является основным веб-бэкдором в наборе NET-STAR. После загрузки компонентом веб-шелла бэкдор работает entirely in memory (полностью в памяти) в процессе w3wp.exe IIS. Его уникальный модульный подход позволяет получать дополнительные полезные нагрузки и аргументы, выполнять их в памяти и отправлять результаты через зашифрованный канал связи с командным центром (C2).

Исходный компонент IIServerCore - это веб-шелл ASPX с именем OutlookEN.aspx, который содержит встроенный сжатый в Base64 двоичный файл бэкдора. При выполнении веб-шелл загружает бэкдор в память процесса w3wp.exe и вызывает основной метод Run. Для сокрытия следов злоумышленники изменили временные метки файлов (timestomping) как веб-шелла, так и бэкдоров из набора NET-STAR, чтобы совпасть со временем старых файлов в системе. Бэкдор также поддерживает команду changeLastModified, что указывает на активные возможности по манипуляции временными метками для затруднения работы аналитиков безопасности и инструментов цифровой криминалистики.

Основной метод Run обрабатывает входящую коммуникацию и управляет всеми операциями вредоносной программы. Он обрабатывает два типа запросов: первоначальное рукопожатие для установления сеанса с C2-сервером и последующие запросы на выполнение команд для динамической загрузки и выполнения сборок .NET. Бэкдор поддерживает различные встроенные команды, предоставляющие широкий спектр функциональных возможностей, включая операции с файловой системой, доступ к базам данных, выполнение произвольного кода, управление веб-шеллами, обход антивируса, зашифрованную коммуникацию C2 и выполнение в памяти.

Эволюция загрузчиков .NET: AssemblyExecuter V1 и V2

Второй компонент в наборе NET-STAR - это еще одно вредоносное ПО .NET для IIS, названное AssemblyExecuter. Исследователи наблюдали две версии этого инструмента. Более старая версия (v1), которая, по их мнению, использовалась злоумышленниками примерно в 2024 году, представляет собой сборку .NET, предназначенную для одной конкретной цели - выполнения других сборок .NET directly in memory (непосредственно в памяти) без записи на диск. Эта, казалось бы, безобидная структура кода приводит к минимальному срабатыванию антивирусных движков на VirusTotal, демонстрируя технику создания инструментов, избегающих явно вредоносного кода.

Вторая версия AssemblyExecuter (v2) сохраняет ту же основную цель, но включает усовершенствованные возможности уклонения для работы в более тщательно контролируемых средах. Хотя фундаментальная логика загрузки и выполнения сборки остается неизменной, AssemblyExecuter v2 включает специальные методы для обхода двух критических механизмов безопасности Windows - AMSI и ETW. Вредоносная программа динамически определяет, какие методы обхода применять, на основе входных параметров, что позволяет злоумышленникам выборочно отключать средства защиты в зависимости от конфигурации целевой среды.

Значение долгосрочного наблюдения

Формальное обозначение Phantom Taurus демонстрирует ценность постоянного отслеживания субъектов угроз. Многолетнее расследование Unit 42 является примером того, как долгосрочный мониторинг позволяет получить всестороннее понимание эволюции и операционных возможностей киберпреступных группировок. Собранные обширные доказательства дают crucial insights (ключевое понимание) устойчивости, адаптивности, процесса эволюции и стратегических намерений противника, которые краткосрочный анализ не всегда может уловить. Появление Phantom Taurus с ее уникальным арсеналом, таким как NET-STAR, подчеркивает постоянную эскалацию сложности и изощренности угроз кибершпионажа, исходящих от государственных акторов.

Индикаторы компрометации

SHA256

3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4
afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e
b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038
eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc