Phantom Taurus: Novo Grupo de Hackers Ligado à China Ataca Governos com Malware Furtivo

Uma nova ameaça cibernética chamada Phantom Taurus, vinculada à China, tem como alvo organizações governamentais e de telecomunicações na África, Oriente Médio e Ásia há cerca de dois anos e meio.

Foco e Objetivos

• Alvos principais: Ministérios de relações exteriores, embaixadas, eventos geopolíticos e operações militares
• Objetivo primário: Espionagem para coleta de inteligência de longo prazo
• Características: Furtividade, persistência e rápida adaptação de táticas

Evolução do Grupo

• Primeiramente identificado em junho de 2023 como CL-STA-0043
• Promovido para TGR-STA-0043 em maio de 2024
• Atua desde pelo menos o final de 2022 na campanha "Operação Espectro Diplomático"

Técnicas e Ferramentas

• Malware personalizado: Suite NET-STAR desenvolvida em .NET
• Componentes do NET-STAR:
  • IIServerCore: Backdoor modular sem arquivo
  • AssemblyExecuter V1 e V2: Execução de payloads .NET na memória
• Vetores de acesso: Exploração de servidores vulneráveis IIS e Microsoft Exchange
• Nova técnica: Script em lote para extração direta de bancos de dados SQL

Infraestrutura e Conexões

• Compartilha infraestrutura operacional com grupos conhecidos como APT41 e Mustang Panda
• Demonstra "compartimentalização operacional" dentro do ecossistema compartilhado

Capacidades Avançadas

• Técnicas de evasão sofisticadas
• Capacidade de "timestomping" para confundir análise forense
• Bypass de proteções como AMSI e ETW

O grupo representa uma ameaça significativa para servidores voltados para a internet, demonstrando compreensão profunda da arquitetura .NET e técnicas avançadas de persistência.