Il gruppo di cyber spionaggio Phantom Taurus, legato agli interessi economici e geopolitici della Cina, è stato individuato in una nuova campagna che prende di mira organizzazioni governative e del settore telecomunicazioni. L’allarme arriva da un’analisi di Palo Alto Networks, secondo cui l’attività è in corso da oltre due anni e rappresenta una delle operazioni più strutturate osservate negli ultimi tempi.
Identificato per la prima volta nel 2023, il gruppo è stato collegato agli ambienti cinesi attraverso l’uso di infrastrutture operative esclusive. Rispetto ad altri attori statali, si distingue per l’impiego di tattiche e procedure non convenzionali, sviluppate su misura per mantenere un accesso nascosto e duraturo ai sistemi compromessi.
Gli strumenti utilizzati e il ruolo di Net-Star
L’arsenale di Phantom Taurus include sia malware inediti come Specter e Net-Star, sia strumenti già noti nella comunità hacker cinese, tra cui China Chopper, la suite Potato e Impacket. Gli obiettivi principali restano ministeri degli esteri, ambasciate e istituzioni di alto valore strategico.
Dal 2025 il gruppo ha iniziato a distribuire Net-Star, una suite basata su .NET progettata per compromettere i server IIS. Il pacchetto malevolo comprende tre backdoor:
IIServerCore, fileless e interamente in memoria, in grado di eseguire codice arbitrario, accedere a database e caricare payload con comunicazioni cifrate verso i server C&C;
AssemblyExecuter V1, che permette l’esecuzione in memoria di librerie .NET aggiuntive;
AssemblyExecuter V2, una versione potenziata con tecniche di evasione avanzate, capace di aggirare sistemi di sicurezza come AMSI ed ETW.
Obiettivi geopolitici e aree colpite
Le campagne condotte da Phantom Taurus hanno riguardato in particolare Africa, Medio Oriente e Asia, con focus su server di posta elettronica e database interni. L’obiettivo è l’esfiltrazione di comunicazioni diplomatiche, informazioni legate alla difesa e dati critici di ministeri governativi.
Secondo Palo Alto Networks, la tempistica degli attacchi non è casuale: molte operazioni coincidono con eventi globali rilevanti o con momenti di tensione geopolitica nelle aree coinvolte. Una strategia che conferma il ruolo di Phantom Taurus come strumento di supporto agli interessi cinesi sul piano internazionale.
