Chinese APT Phantom Taurus richt op zich diplomaten en telecombedrijven

Na bijna drie jaar onderzoek concludeert Unit 42 dat Phantom Taurus zich onderscheidt van andere dreigingsactoren volledig eigen tactieken, technieken en procedures (TTP’s) en zelfontwikkelde tools in te zetten. Hun aanvallen richten zich vooral op ministeries van Buitenlandse Zaken, ambassades, geopolitieke gebeurtenissen en militaire operaties. De kracht van Phantom Taurus ligt in de snelheid waarmee ze tactieken aanpassen, zodat hun spionageactiviteiten zonder onderbreking door kunnen gaan.

Unit 42 waarschuwt dat Phantom Taurus een nieuw topniveau van statelijke cyberdreiging vertegenwoordigt - een dreiging die de internationale stabiliteit en veiligheid direct onder druk zet.

Dit is hoe Phantom Taurus te werk gaat:

Met een doelgericht playbook vermijden ze brede phishingcampagnes en richten ze zich op hoogwaardige targets. De werkwijze omvat gedegen vooronderzoek gevolgd door gerichte aanvallen op kwetsbare web- en mailservers en sleutelpersonen om snel toegang tot waardevolle data te krijgen.

Met een volledig zelf ontwikkeld malware-arsenaal voert Phantom Taurus gerichte, stealthy operaties uit. In plaats van off-the-shelf tools gebruikt de groep interne modules - van e-mail-exfiltratie (TunnelSpecter, SweetSpecter) tot de NET-STAR-suite (o.a. IIServerCore, AssemblyExecuter) - die fileless en in-memory draaien om detectie te omzeilen.

Hun primaire focus ligt op het vergaren van gevoelige, niet-publieke geopolitieke inlichtingen. Doelwitten en zoekopdrachten zijn afgestemd op actuele wereldgebeurtenissen. De focus ligt op thema’s zoals China (waaronder president Xi), OPEC, militaire inlichtingen en internationale relaties.

De hackersgroep is erop gericht lang onder de radar te blijven. Door geavanceerde omzeilingstechnieken te gebruiken, kunnen ze volhardende en langdurige operaties uitvoeren - en zo wereldwijd een hardnekkige dreiging vormen.