Un gruppo di cyber spionaggio sostenuto da uno Stato e tracciato con il nome di Phantom Taurus è stato individuato mentre prendeva di mira organizzazioni governative e del settore delle telecomunicazioni. Secondo un'analisi pubblicata da Palo Alto Network, l'attività, che prosegue da più di due anni, si colloca nell'ambito di un'operazione di lungo periodo che riflette gli interessi economici e geopolitici della Cina.
INFRASTRUTTURA CINESE MA TECNICHE DIVERSEIl gruppo è stato osservato per la prima volta nel 2023, ma solo di recente è stato collegato agli ambienti di cyber spionaggio cinesi grazie alla condivisione di infrastrutture operative esclusive. Rispetto ad altri attori statali, tuttavia, Phantom Taurus si distingue per l'adozione di tattiche, tecniche e procedure (TTPs) non convenzionali, in parte sviluppate ad hoc, che gli consentono di mantenere un accesso prolungato e nascosto ai sistemi delle vittime.
L'inventario degli strumenti utilizzati include sia malware inediti come le famiglie Specter e Net-Star, oltre a Ntospy, sia tool consolidati nel repertorio degli hacker cinesi, tra cui China Chopper, la suite Potato e Impacket. Gli obiettivi privilegiati comprendono ministeri degli affari esteri, ambasciate e altre istituzioni di rilievo strategico.
IL MALWARE NET-STAR E I TRE BACKDOORDal 2025 Phantom Taurus ha iniziato a impiegare Net-Star, una suite malevola basata su .NET indirizzata specificamente ai server IIS. Essa comprende tre backdoor web: IIServerCore, completamente fileless, e due varianti del loader AssemblyExecuter.
Il backdoor IIServerCore opera interamente in memoria, può ricevere ed eseguire payload e parametri e restituire i risultati al server di comando e controllo (C&C). Tra le funzioni integrate ci sono operazioni sul file system, accesso a database, esecuzione di codice arbitrario, gestione di web shell, elusione dei sistemi di difesa, caricamento di payload direttamente in memoria e cifratura delle comunicazioni con il C&C.
Il primo loader, AssemblyExecuter V1, consente l'esecuzione in memoria di altre librerie .NET, permettendo di caricare codice aggiuntivo dopo l'intrusione iniziale. La seconda variante, AssemblyExecuter V2, ha le stesse finalità ma con capacità di evasione più sofisticate: integra infatti metodi specifici per aggirare i meccanismi di sicurezza Antimalware Scan Interface (AMSI) ed Event Tracing for Windows (ETW).
Le campagne attribuite a Phantom Taurus hanno interessato soprattutto regioni sensibili come Africa, Medio Oriente e Asia, con attacchi indirizzati ai server di posta elettronica per l'esfiltrazione di messaggi e ai database interni delle organizzazioni prese di mira.
Secondo Palo Alto Networks, gli obiettivi includono comunicazioni diplomatiche, informazioni di intelligence in ambito difensivo e dati relativi alle attività di ministeri governativi critici. La tempistica e la portata delle operazioni, osserva la società di cybersicurezza, coincidono spesso con eventi globali di rilievo e con dinamiche regionali legate alla sicurezza internazionale.
Studentessa 14enne inventa un idrogel che elimina le microplastiche nell'acqua