Phantom Taurus és a NET-STAR malware
A Phantom Taurus egy eddig ismeretlen nemzetállami szereplő, amelynek kémtevékenységei összhangban állnak Kína állami érdekeivel. Az elmúlt két és fél évben a Unit 42 kutatói megfigyelték, hogy a Phantom Taurus afrikai, közel-keleti és ázsiai kormányzati és távközlési szervezeteket vett célba. A Unit 42 szerint a Phantom Taurus fő célpontjai a külügyminisztériumok, a nagykövetségek. A csoport elsődleges célja a kémkedés. Tevékenységeire jellemző a fedett működés, a perzisztencia, a taktikái, technikái és eljárásai (TTP) pedig a gyors alkalmazkodási képességét mutatják.
A Phantom Taurus-t a kínai APT csoportoktól a jellegzetes TTP-készlete különbözteti meg. A csoport által használt TTP-k lehetővé teszi számára, hogy rendkívül rejtett műveleteket hajtson végre, és hosszú távon hozzáférjen a kritikus célpontokhoz. A csoport kormányzati szerveknek technológiai szolgáltatásokat nyújtó vállalatokat vesz célba, ami lehetővé teszi számukra, hogy diplomáciai kommunikációt, védelmi információkat és kritikus kormányzati minisztériumok működésével kapcsolatos adatokat szerezzenek meg.
A Unit 42 megállapította, hogy a csoport által indított kibertámadások időzítése általában egybeesett jelentős globális eseményekkel vagy regionális incidensekkel. A kutatók nem közölték, hogy mely országokat vette célba a Phantom Taurus.
A Phantom Taurus más ismert kínai csoportok, például az APT27, a Winnti és a Mustang Panda által használt operatív infrastruktúrát használ. Az Unit 42 szerint azonban a Phantom Taurus új malware csomagot használ és viszonylag fejlettebb taktikákat alkalmaz, ezzel elhatárolva magát más kínai csoportoktól. A csoport a gyakran használt kínai rosszindulatú szoftverek, például a China Chopper keverékét alkalmazza, miközben új, testreszabott eszközöket is használ, amelyeket a kutatók NET-STAR-nak neveztek el. A Unit 42 jelentése erre az Internet Information Services (IIS) webszerverekre tervezett új rosszindulatú szoftvercsomagra összpontosít.