Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Alerte de Sécurité Oracle E-Business Suite : Analyse de la Campagne d’Extorsion
Une faille critique dans Red Hat OpenShift AI met en danger l’infrastructure cloud
Phantom Taurus : un acteur espion sino-lié cible les gouvernements avec des malwares invisibles

Phantom Taurus : un acteur espion sino-lié cible les gouvernements avec des malwares invisibles

Un groupe de cyberespionnage jusqu’alors peu documenté, baptisé Phantom Taurus, a été identifié comme ayant mené des attaques ciblées contre des gouvernements, des ministères étrangers, des opérateurs télécoms dans plusieurs régions — Afrique, Moyen-Orient et Asie — sur une période d’au moins deux ans et demi. Palo Alto Networks, via son pôle Unit 42, décrit ce collectif comme un acteur aligné sur les intérêts nationaux chinois, spécialisé dans l’espionnage gouvernemental.

Objectifs et cibles

Phantom Taurus concentre ses opérations sur des entités de haute valeur stratégique :

  • ministères des affaires étrangères, ambassades, entités diplomatiques ;

  • agences de défense, services gouvernementaux, secteurs sensibles sur le plan géopolitique.
    Les attaques semblent souvent coïncider avec des événements majeurs ou des crises régionales, renforçant l’idée que le groupe cherche à obtenir des renseignements politiques ou stratégiques.

Historique et attribution

  • Ce groupe était précédemment désigné par le code CL-STA-0043 dès juin 2023. En mai dernier, il a été reclassifié temporairement en tant que TGR-STA-0043 au vu de ses activités étendues et persistantes. Des analyses montrent que depuis fin 2022, il mène des campagnes d’espionnage ciblant des gouvernements dans des zones sensibles, sous l’opération dite Operation Diplomatic Specter.

  • L’infrastructure utilisée par Phantom Taurus est partiellement partagée avec d’autres groupes connus (AT27 / Iron Taurus, APT41 / Winnti, Mustang Panda), mais avec des compartimentages opérationnels stricts, ce qui laisse penser à une meilleure discipline pour éviter les recoupements détectables.

Techniques et outils employés

Phantom Taurus met en œuvre une infrastructure logicielle sophistiquée, compilée autour d’un framework maison appelé NET-STAR, composé de trois backdoors .NET dédiées à l’exploitation de serveurs IIS :

  1. IIServerCore
    Un backdoor fileless en mémoire, chargé depuis une web shell ASPX, capable d’exécuter des commandes arbitraires (arguments en ligne, exécution de payloads) et de communiquer via un canal C2 encrypté.

  2. AssemblyExecuter V1
    Charge des modules .NET additionnels en mémoire pour étendre les capacités selon les besoins.

  3. AssemblyExecuter V2
    Variante renforcée avec capacité à contourner l’Antimalware Scan Interface (AMSI) et Event Tracing for Windows (ETW), rendant la détection plus difficile.

Le backdoor principal inclut une fonction changeLastModified, suggérant qu’elle peut modifier la date de dernière modification (timestomping) pour tromper les analystes forensic.

Au cours des attaques récentes, Phantom Taurus a démontré une évolution dans ses tactiques : au lieu de se concentrer seulement sur le vol d’emails, le groupe cible directement les bases de données. Il exécute des scripts batch consistant à se connecter à un serveur SQL, exporter des données au format CSV, puis supprimer le canal de connexion. Cela se fait via Windows Management Instrumentation (WMI), permettant une méthode discrète et automatisée.

Modes d’intrusion observés

Le vecteur initial n’est pas toujours clair, mais les intrusions connues utilisent :

  • des vulnérabilités exploitées sur des serveurs IIS ou Microsoft Exchange, notamment via ProxyLogon ou ProxyShell, pour obtenir une porte d’entrée dans le réseau ciblé.

  • la capacité du groupe à adapter ses techniques : même si des attaques exploitent des failles connues, Phantom Taurus est capable d’accroître son arsenal pour s’adapter aux systèmes renforcés.

Implications & recommandations

Ce que cela signifie

  • Phantom Taurus représente une menace avancée pour les organisations gouvernementales ou diplomatiques : un acteur discret, capable d’espionnage à long terme, opérant dans des zones politiquement sensibles.

  • L’usage de backdoors .NET spécialisés et le contournement d’AMSI/ETW suggèrent un niveau de sophistication élevé, surpassant les malwares grand public.

  • Les cibles seront probablement davantage sous surveillance à l’approche d’événements géopolitiques (sommet, crise, changement gouvernemental, etc.).

Pour les équipes de sécurité

  1. Durcir les serveurs web (IIS / Exchange)

    • Appliquer tous les correctifs de sécurité (ProxyLogon, ProxyShell, etc.).

    • Désactiver les composants non nécessaires et limiter les surfaces d’attaque.

  2. Surveillance des comportements internes

    • Détecter les exécutions via WMI suspectes, les exports SQL inhabituels ou les scripts batch lancés sur des serveurs critiques.

    • Mettre en place une surveillance avancée EDR/XDR pour identifier les backdoors .NET ou les modules non légitimes chargés en mémoire.

  3. Protection du canal C2

    • Examiner les connexions sortantes chiffrées vers des domaines ou IP inconnus, surtout depuis des serveurs web publics.

    • Appliquer des règles de segmentation réseau, limiter les communications sortantes hors des portées prévues.

  4. Intégration threat intelligence

    • Suivre les indicateurs de compromis (IoC) publiés pour le groupe Phantom Taurus.

    • Partager les découvertes entre entités gouvernementales afin de renforcer la détection collective.

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.