Phantom Taurus – кибершпионска група, насочена към Африка и Азия

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Palo Alto Networks (Unit 42) идентифицира и документира нова, досега слабо описвана, държавно‑подпомагана заплаха, кръстена Phantom Taurus. През последните две и половина години групата е провела устойчива програма за кибершпионаж, насочена предимно към министерства на външните работи, посолства, събития с геополитически интерес и военни структури в Африка, Близкия изток и Азия.

Цел и поведение

Според изследователите, основната цел на Phantom Taurus е дългосрочно събиране на разузнавателни данни и придобиване на конфиденциална информация от обекти с икономическо и геополитическо значение за Китай. Операциите на групата показват характерни признаци: обмисленост, устойчив достъп до компрометирани мрежи и бърза адаптация на тактики, техники и процедури (TTPs), често съвпадащи с ключови регионални събития.

Технически похвати и инструменти – NET‑STAR и не само

Phantom Taurus използва смес от уникални и споделени инфраструктурни компоненти. Най‑забележителното е собствено разработената малуерна рамка NET‑STAR, писана на .NET и предназначена за атаки срещу Internet Information Services (IIS):

  • IIServerCore – файлless, модулен backdoor, зареждан чрез ASPX web shell; изпълнява команди в паметта и предава резултати през криптиран C2 канал. Поддържа timestomping (changeLastModified), което затруднява разследванията.

  • AssemblyExecuter V1 – зарежда и изпълнява допълнителни .NET payloads в паметта.

  • AssemblyExecuter V2 – разширена версия с възможности за заобикаляне на AMSI и ETW, което позволява по‑лесно избягване на антималуерни механизми.

В допълнение, групата е използвала вече познати в заплаховата екосистема инфраструктурни активи и техники, свързвани с други китайски клъстери (AT27/Iron Taurus, APT41/Winnti, Mustang Panda), но също така прилага уникални компоненти, което говори за оперативна изолация и собствен инженеринг.

Начален достъп и пост‑пробивна активност

Phantom Taurus често експлоатира известни уязвимости в on‑prem IIS и Microsoft Exchange (например ProxyLogon, ProxyShell) за първоначален вход. След влизане атаката преминава към систематично търсене и ексфилтрация: групата е прилагала WMI‑базирани batch скриптове за свързване към SQL Server, извеждане на резултати във CSV и прекратяване на връзката — метод, използван за целенасочено извличане на документи и данни по държави (например Афганистан, Пакистан).

Защо Phantom Taurus е различна заплаха

Комбинацията от:

  • bespoke .NET инструменти с advanced evasion (AMSI/ETW обходи),

  • възможности за in‑memory изпълнение и timestomping,

  • фокус върху дипломатически и отбранителни цели, и

  • синергия с оперативна инфраструктура, използвана от други APT групи

прави Phantom Taurus сериозна и трудна за засичане заплаха за институции с чувствителна информация.

Препоръки за защита (за администратори и екипи по сигурността)

  1. Пачване и hardening — незабавно прилагане на всички фиксове за Exchange и IIS; деактивиране на ненужни услуги и ограничаване на публичния достъп до административни интерфейси.

  2. Мониторинг и детекция — повишено наблюдение на аномалии в IIS/Exchange логове, необичайни WMI скриптове, неочаквани отклонения в SQL заявките и наличието на ASPX web shells.

  3. EDR/Telemetry — конфигуриране на детекция за in‑memory изпълнение и за поведение, свързано с AMSI/ETW заобикаляне.

  4. Segmentation & Least Privilege — ограничаване на достъпа на сървъри до бази данни и API, прилагане на принципа на най‑малките привилегии.

  5. Forensics readiness — задържане и защита на логове за достатъчен период; използване на tamper‑resistant съхранение за дигитални доказателства.

  6. Threat intel sharing — обмен на индикатори (IOCs) и TTPs с национални CERT/NCSC и партньори в региона.

  7. Red teaming & hunting — симулации, фокусирани върху .NET in‑memory техники, web shell detection и сценарии за SQL ексфилтрация чрез WMI.

Phantom Taurus демонстрира, че държавно‑подкрепени групи продължават да развиват комбинация от собствени и общодостъпни инструменти за целенасочен шпионаж. Особено уязвими остават интернет‑изложените IIS и Exchange инстанции, както и среди с лоша сегментация на достъпа до бази данни. Организациите, които оперират в геополитически чувствителни области, трябва да оценят риска, да засилят мониторинга и да прилагат защитни мерки без забавяне.

#IIS уязвимости, # NET‑STAR, # Phantom Taurus, # Unit 42, # кибершпионаж
e-security.bg

Подобни

Държавни хакери използват Gemini на Google
12.02.2026
google-gemini
SSHStalker - нов Linux ботнет възражда IRC като C2 механизъм
12.02.2026
u_z3u7n7e7-penguins-5414467_640
LummaStealer се завръща с нова сила чрез CastleLoader
12.02.2026
stealer
Атаката DeadVax: изключително сложна фишинг кампания
9.02.2026
malware-phishing-header
APT28 използва нова уязвимост в Microsoft Office за кампания срещу Европа
9.02.2026
spying-4270361_640
Shadow Campaigns: Глобална операция с ясен геополитически фокус
9.02.2026
Cyberattack_b

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.