Atividades do novo grupo chinês têm como alvo agências governamentais e telecomunicações

O grupo Phantom Taurus, vinculado ao governo chinês, é foco de um novo relatório da Palo Alto Networks, revelando suas táticas de ciberespionagem.

O centro de pesquisa Unit 42, da Palo Alto Networks, identificou operações de um grupo de espionagem que atua em alinhamento com interesses do governo chinês. Batizado de Phantom Taurus, o coletivo tem como alvo organizações governamentais, ministérios de relações exteriores, embaixadas e provedores de telecomunicações na África, Oriente Médio e Ásia.

Táticas e objetivos do Phantom Taurus

O objetivo declarado das investidas é espionar atividades diplomáticas e operacionais, coletando informações sensíveis, incluindo e-mails e comunicações internas. O grupo emprega um arsenal de ferramentas e técnicas que visam contornar defesas e manter acesso prolongado aos sistemas comprometidos. O diferencial do Phantom Taurus é seu conjunto de TTPs — táticas, técnicas e procedimentos — que possibilitam operações furtivas e persistentes.

Ferramentas utilizadas

Uma descoberta relevante do relatório é a ferramenta personalizada chamada NET-STAR, uma suíte de malwares projetada para comprometer servidores Microsoft IIS. Essa suíte inclui backdoors fileless, como o IIServerCore, que não deixam arquivos triviais no disco, além de payloaders que operam inteiramente na memória RAM. O uso de componentes em memória complica a detecção e facilita a permanência do ator malicioso nos sistemas afetados.

Implicações e recomendações

As ações atribuídas ao Phantom Taurus evidenciam a necessidade de endurecer as defesas em infraestruturas críticas, especialmente em servidores web que rodam IIS. Implementar monitoramento focado em atividade em memória e compartilhar indicadores de comprometimento com parceiros são passos fundamentais para mitigar danos e reduzir a janela de exposição. Acompanhe o TecMundo para análises sobre ameaças cibernéticas e práticas de defesa recomendadas.