Investigadores de Unit 42, el equipo de inteligencia de Palo Alto Networks, han revelado la existencia de Phantom Taurus, un nuevo grupo de amenazas persistentes avanzadas (APT) vinculado a la República Popular China. Este actor de ciberespionaje, no documentado previamente, ha operado de forma encubierta durante más de dos años y medio, centrando sus ataques en organizaciones gubernamentales y de telecomunicaciones ubicadas en África, Medio Oriente y Asia.
Los expertos aseguran que el principal objetivo de Phantom Taurus es la obtención de información confidencial y no pública relacionada con la diplomacia, la defensa y los intereses geopolíticos de China. Entre sus blancos destacan los ministerios de asuntos exteriores, las embajadas y otras entidades involucradas en operaciones militares o de inteligencia estratégica.
El informe señala que este grupo se diferencia de otros actores chinos por su sofisticado conjunto de tácticas, técnicas y procedimientos (TTP), los cuales le permiten mantener un acceso prolongado a los sistemas comprometidos. Su nivel de sigilo y adaptabilidad ha dificultado su detección por parte de las autoridades y los equipos de ciberseguridad.
Uno de los descubrimientos más relevantes del estudio es la identificación del conjunto de malware NET-STAR, una familia de herramientas personalizadas escritas en .NET y diseñadas para atacar servidores Microsoft IIS. Este malware se compone de tres puertas traseras principales —entre ellas IIServerCore y AssemblyExecuter— capaces de ejecutar código directamente en la memoria, sin dejar rastros en el disco duro.
Los analistas de Unit 42 destacan que NET-STAR incluye avanzadas funciones de evasión de seguridad, como la capacidad de burlar la Interfaz Antimalware de Escaneo (AMSI) y el seguimiento de eventos del sistema operativo Windows (ETW). Estas técnicas permiten a los atacantes ocultar sus actividades incluso en entornos protegidos por herramientas modernas de defensa.
Además, la investigación detectó un cambio reciente en las tácticas del grupo: mientras antes se centraban en el robo de correos electrónicos, ahora dirigen sus esfuerzos a extraer información directamente de bases de datos. Para ello utilizan scripts automatizados que ejecutan consultas SQL, obtienen resultados sensibles y los exportan a archivos externos para su análisis posterior.
Palo Alto Networks ha actualizado sus productos Cortex XDR, XSIAM, Advanced WildFire y Advanced Threat Prevention para detectar las técnicas y herramientas utilizadas por Phantom Taurus. La compañía también ha compartido los indicadores de compromiso con la Cyber Threat Alliance para ayudar a otras organizaciones a mitigar la amenaza.
Según Unit 42, la identificación formal de Phantom Taurus demuestra el valor de la investigación a largo plazo en la atribución de actores de amenazas. El caso refleja cómo la vigilancia continua puede revelar la evolución de grupos de ciberespionaje estatales, su infraestructura compartida y sus nuevas capacidades operativas orientadas al espionaje global.