Afganistán, Pakistán y secretos militares: ¿cuál es el verdadero objetivo de los ciberespías de Phantom Taurus?
El modo de actuar del grupo apunta a una vinculación sutil con determinados acontecimientos geopolíticos internacionales.
El nuevo grupo de ciberespionaje Phantom Taurus, vinculado a China, ha atacado durante los últimos dos años y medio a organismos gubernamentales y a empresas de telecomunicaciones en África, en Oriente Medio y en Asia. Según Palo Alto Networks Unit 42, el interés de los atacantes se concentra en ministerios de Asuntos Exteriores, embajadas, operaciones militares y correspondencia diplomática. El objetivo principal de los ataques es la recopilación de información confidencial para actividades de inteligencia a largo plazo en interés de China.
Unit 42 detectó por primera vez la actividad de este grupo en 2023 bajo la denominación CL-STA-0043. Más tarde, en 2024, las operaciones se agruparon en la campaña Operation Diplomatic Specter, tras lo cual los investigadores distinguieron a Phantom Taurus como actor independiente. Los ataques coincidieron en el tiempo con crisis internacionales y conflictos regionales, lo que indica una estrecha vinculación con la agenda geopolítica.
Una característica de Phantom Taurus es el uso de su propia plataforma maliciosa NET-STAR, escrita en .NET y orientada a la compromisión de servidores IIS. El conjunto incluye tres puertas traseras web separadas: IIServerCore, que permite la ejecución de comandos directamente en memoria y la transferencia de datos por un canal cifrado; AssemblyExecuter V1 para cargar componentes .NET adicionales; y AssemblyExecuter V2, que incluye evasión de AMSI y ETW. En IIServerCore está integrada una función timestomping, que permite modificar las marcas temporales de los archivos, dificultando el trabajo de los analistas y de los sistemas de peritaje digital.
Para infiltrarse, Phantom Taurus explotó vulnerabilidades en Microsoft Exchange e IIS, en particular ProxyLogon y ProxyShell. Los expertos no descartan que en el futuro el grupo pase a nuevos métodos de compromiso, ya que sus integrantes muestran flexibilidad y capacidad de adaptarse a las medidas de defensa.
En varios casos los ataques pasaron de la recopilación de correspondencia a la extracción directa del contenido de bases de datos. Para ello se utilizó un script por lotes que permitía conectarse a SQL Server, volcar los resultados en formato CSV y cerrar la conexión, ejecutándose a través de la infraestructura WMI.
Cabe destacar que la infraestructura de Phantom Taurus se solapa en parte con recursos que en distintos momentos fueron usados por los grupos AT27 (Iron Taurus), APT41 (Starchy Taurus, Winnti) y Mustang Panda (Stately Taurus). Sin embargo, también se observa un aislamiento estricto de algunos componentes, lo que sugiere una separación de zonas de responsabilidad dentro de la comunidad china de ciberespionaje.
Según las observaciones de Unit 42, los atacantes muestran especial interés por documentos relacionados con Afganistán y Pakistán, así como por información de carácter militar. Esa selectividad y la coincidencia con eventos internacionales clave recuerdan la práctica de otros grupos chinos, por ejemplo RedNovember, que atacó estructuras en Taiwán y Panamá durante periodos de tensiones políticas y militares.
La funcionalidad de NET-STAR y la táctica de Phantom Taurus muestran un alto nivel de preparación y la intención de permanecer durante largo tiempo en los sistemas comprometidos. La combinación de herramientas únicas con vulnerabilidades comprobadas convierte al grupo en una amenaza seria para los organismos estatales y la infraestructura crítica en regiones estratégicas.