Phantom Taurus, un nuovo attore di minacce persistenti avanzate (APT) cinesi, sta evolvendo la sua strategia di spionaggio, passando dal furto di email al targeting diretto dei database.

Il gruppo utilizza la suite malware Net-Star, un set di backdoor fileless per server IIS con avanzate capacità di bypass AMSI ed ETW e tecniche di timestomping.

Le operazioni del gruppo, che mirano a enti governativi in Medio Oriente, Africa e Asia, riflettono un chiaro allineamento con gli interessi geostrategici della Cina.

Ecco cos’è la nuova minaccia cyber.

Phantom Taurus e la nuova suite malware, Net-Star

Il mondo della cyber sicurezza ha recentemente formalizzato l’identità di un nuovo e sofisticato attore nel panorama delle minacce persistenti avanzate (APT) cinesi: Phantom Taurus.

Questo gruppo (designazione CL-STA-0043/TGR-STA-0043), monitorato da Unit 42 di Palo Alto Networks per quasi tre anni, incarna la nuova generazione di spionaggio digitale, con operazioni a lungo termine volte a sottrarre informazioni sensibili e non pubbliche.

Il loro modus operandi distintivo e le pratiche operative avanzate non solo li differenziano dagli altri gruppi APT cinesi, ma sono supportate da una nuova suite malware, Net-Star, che dimostra una profonda comprensione dell’architettura .NET e un’ossessione per l’evasione.

Phantom Taurus, il nexus nell’ecosistema APT cinese

La designazione di Phantom Taurus come un distinto attore APT è supportata da un’analisi rigorosa. Sebbene il gruppo persegua obiettivi coerenti con gli interessi strategici della Repubblica Popolare Cinese (RPC), si distingue per la sua compartimentazione operativa.

Phantom Taurus è stato identificato come un “Nexus” perché sfrutta un’infrastruttura operativa APT cinese condivisa, utilizzata anche da altri attori di minaccia noti nel “Taurus cluster”: Iron Taurus, Starchy Taurus e Stately Taurus.

Tuttavia, gli strumenti e i componenti infrastrutturali specifici utilizzati da Phantom Taurus, compresa la suite NET-STAR, non sono stati osservati nelle operazioni degli altri gruppi.

Questa compartimentazione operativa all’interno di un ecosistema condiviso è un indicatore chiave del livello di coordinamento e sofisticazione del gruppo, che opera con una chiara autonomia tattica.

Il mandato di spionaggio e l’evoluzione tattica

L’obiettivo principale di Phantom Taurus è la raccolta di intelligence in linea con gli interessi economici e geopolitici della Repubblica Popolare Cinese (RPC). Le loro vittime sono selezionate tra enti governativi e fornitori di servizi governativi in Medio Oriente, Africa e Asia.

Dal targeting email all’attacco diretto al database

Nelle fasi iniziali della loro campagna (dal 2023), Phantom Taurus si è concentrato sul furto di e-mail sensibili. Successivamente, il gruppo ha compiuto un passo evolutivo cruciale (osservato per la prima volta all’inizio del 2025): un passaggio strategico dal targeting delle e-mail all’attacco diretto ai database.

Per questa manovra, hanno dispiegato lo script mssq.bat per l’esfiltrazione dei dati. L’attacco dimostra una chiara familiarità con le operazioni sui database SQL.

I dettagli

Il processo di attacco è altamente tecnico e si articola come segue:

• esecuzione remota: l’attore sfrutta Windows Management Instrumentation (WMI) per eseguire lo script sul server SQL remoto.
• connessione privilegiata: lo script mssq.bat esegue un comando PowerShell che tenta di connettersi al database SQL Server utilizzando credenziali precedentemente ottenute, spesso l’account amministratore di sistema (sa).
• ricerca dinamica: lo script è parametrizzato per eseguire query SQL fornite dagli operatori, consentendo la ricerca dinamica di tabelle e parole chiave specifiche (ad esempio, relative a Afghanistan e Pakistan).
• esfiltrazione finale: i risultati delle query vengono eseguiti e, infine, esportati in un file CSV per l’esfiltrazione.

Tecniche, tattiche e strumenti di accesso (TTP)

Phantom Taurus impiega un set unico di TTP. Oltre a strumenti comuni come China Chopper, la Potato suite e Impacket, il gruppo utilizza:

• tunneling e movimento laterale. Strumenti come Htran, Yasso e Ladon Samba per stabilire canali di comunicazione nascosti all’interno della rete compromessa.
• raccolta e furto di credenziali. Si affidano a Ntospy (Credential theft via network provider) e all’esecuzione di un impianto di script Visual Basic in memoria per agire come una web shell.
• spionaggio di posta. Furto di e-mail mediante l’uso improprio dell’entità Exchange Management Shell.

Net-Star: la suite malware fantasma per server IIS

La suite Net-Star è una suite malware .NET meticolosamente progettata per colpire i server web Internet Information Services (IIS). È composta da tre distinte backdoor che operano per mantenere la persistenza nell’ambiente IIS del bersaglio.

I tre componenti e l’esecuzione fileless:

• II Server Core: è il componente backdoor modulare e senza file principale. L’attacco inizia quando una web shell ASPX iniziale (OutlookEN.aspx) carica un binario compresso e codificato in Base64 e Gzip e lo esegue direttamente nella memoria del processo worker IIS w3wp.exe. Il nucleo operativo è gestito da una classe denominata ServerRun. Il suo metodo principale, Run, gestisce il protocollo di handshake C2 e supporta una vasta gamma di comandi integrati per l’accesso al database e le operazioni sul file system.
• AssemblyExecuter V1: questa versione precedente (utilizzata intorno al 2024) è un assembly .NET minimale, progettato unicamente per eseguire altri assembly .NET direttamente in memoria senza scriverli su disco, consentendo il caricamento dinamico di funzionalità aggiuntive.
• AssemblyExecuter V2: mantiene lo stesso scopo principale della V1, ma la versione più recente (utilizzata nel 2025) aggiunge funzionalità di evasione avanzate, necessarie per operare in ambienti con elevati standard di monitoraggio.

Tattiche anti-forensic e di evasione

Crittografia e offuscamento, timestomping attivo e bypass di AMSI ed ETW sono tattiche anti-forensic e di evasione:

• crittografia e offuscamento: tutte le comunicazioni C2 sono crittografate utilizzando l’algoritmo AES in modalità ECB con padding PKCS7. Inoltre, il malware utilizza tecniche di offuscamento come la codifica Base64 per nascondere i dati trasmessi;
• timestomping attivo: l’autore della minaccia modifica il timestamp dei file ASPX e delle backdoor per farli corrispondere ad altri file presenti sul sistema operativo. Inoltre, IIServerCore supporta un comando chiamato changeLastModified, suggerendo una capacità di timestomping attiva progettata per confondere gli analisti forensi;
• bypass di AMSI ed ETW. AssemblyExecuter V2 include metodi espliciti per bypassare due meccanismi di sicurezza cruciali di Windows: l’Antimalware scan interface (AMSI) e l’Event Tracing for Windows (ETW). Questa funzionalità permette agli aggressori di disabilitare selettivamente il monitoraggio in tempo reale, aggirando le soluzioni di sicurezza che si basano su questi hook di sistema.

Spionaggio geopolitico e l’imperativo fileless

L’ascesa di Phantom Taurus e l’evoluzione della suite Net-Star sono un monito cruciale per la comunità internazionale. L’analisi del loro targeting (ministeri governativi, eventi geopolitici, fornitori di servizi critici in Medio Oriente, Africa e Asia) conferma che l’obiettivo dello spionaggio cinese non è solo l’acquisizione di proprietà intellettuale (spionaggio economico), ma una sistematica raccolta di intelligence strategica e geoeconomica.

L’allineamento dei loro attacchi con gli interessi della RPC indica una strategia di influenza e controllo informativo a lungo raggio che si rafforza con capacità di spionaggio di livello nazionale.

La transizione del gruppo dal targeting basato sulle email alla manipolazione diretta dei database e l’adozione di un toolset avanzato solo in memoria (come IIServerCore) segnano l’inefficacia delle difese di sicurezza perimetrali tradizionali.

L’imperativo per le organizzazioni critiche non è più solo la prevenzione, ma il monitoraggio continuo e la caccia alle minacce basata sul comportamento.

Le minacce di questa portata non possono essere contrastate senza una visibilità profonda e analitica sul comportamento dei processi in memoria.

La necessità di difese dinamiche

Per contrastare efficacemente la minaccia, le organizzazioni devono adottare difese dinamiche:

• Advanced WildFire e Advanced Threat Prevention sono stati aggiornati per rilevare i nuovi indicatori e i vettori di exploit;
• le piattaforme Cortex XDR e XSIAM sono progettate per proteggere dal malware loader iniziale Net-Star, con moduli specifici per la prevenzione delle web shell che intercettano e bloccano l’esecuzione della catena di attacchi.

Le industrie mondiali nel mirino della Cina

La condivisione delle informazioni è la migliore difesa collettiva. Palo Alto Networks ha condiviso queste scoperte con i membri della Cyber Threat Alliance (CTA), consentendo alla comunità di implementare rapidamente le protezioni necessarie contro questa nuova generazione di spionaggio.

Tuttavia, il rapporto di Unit 42 è l’ultimo pubblicato dai ricercatori informatici che hanno avvertito che gli hacker cinesi stanno prendendo di mira in modo aggressivo le industrie di tutto il mondo.

Google, società controllata da Alphabet, ha dichiarato il 24 settembre che un gruppo cinese ha compromesso alcune aziende tecnologiche statunitensi.

All’inizio di settembre, secondo quanto riferito dalla Commissione speciale della Camera statunitense sulla Cina, alcuni presunti aggressori avrebbero impersonato il presidente repubblicano di tale istituzione in una serie di tentativi di rubare dati sensibili sui negoziati commerciali.