Después de una investigación de casi tres años, Unit 42 de Palo Alto Networks ha identificado a un actor de amenazas patrocinado por el Estado chino previamente desconocido al que han denominado Phantom Taurus. Este no es solo otro actor de amenazas; sus métodos, herramientas y persistencia implacable los colocan en un nuevo nivel superior de amenazas globales.

Phantom Taurus es un grupo APT chino que lleva a cabo operaciones de recopilación de inteligencia a largo plazo contra objetivos de alto valor para obtener información confidencial y no pública.

El grupo ataca principalmente a entidades gubernamentales y proveedores de servicios gubernamentales en Oriente Medio, África y Asia. Sus patrones de ataque se alinean con los intereses económicos y geopolíticos de la República Popular China (RPC). Unit 42 detalló que el grupo se interesa por las comunicaciones diplomáticas, la inteligencia relacionada con la defensa y las operaciones de ministerios gubernamentales clave. El momento y el alcance de sus operaciones coinciden frecuentemente con importantes acontecimientos mundiales y asuntos de seguridad regional.

El análisis técnico de Unit 42 revela que el grupo emplea un conjunto único de herramientas desarrolladas a medida e implementa técnicas poco comunes en el panorama de amenazas. El modus operandi distintivo de este grupo, combinado con sus prácticas operativas avanzadas, distingue a Phantom Taurus de otros grupos APT chinos. La designación de este grupo como un APT chino distintivo se sustenta en múltiples factores de atribución

¿Qué hace que Phantom Taurus sea significativo?

Únicos y sofisticados: Operan con tácticas completamente únicas y un arsenal personalizado de malware previamente no documentado, lo que los distingue de todas las demás APT chinas conocidas.

 
Enfoque de doble misión: Están apuntando quirúrgicamente tanto a la inteligencia geopolítica de alto nivel y a las entidades (embajadas, ministerios de relaciones exteriores, diplomáticos) como a la infraestructura crítica de telecomunicaciones.

 
Persistencia sin precedentes: Esto es lo que realmente los distingue. Cuando se descubre a la mayoría de los actores de amenazas, se retiran durante semanas o meses. Phantom Taurus se reagrupa y vuelve a ingresar a las redes objetivo en cuestión de horas o días. Su misión es tan crítica que están dispuestos a arriesgarse a la exposición para mantener el acceso.

Van a por la yugular: En lugar de los ataques de phishing comunes, investigan meticulosamente sus objetivos y eluden a los usuarios para comprometer directamente la infraestructura crítica para robar buzones enteros u obtener un punto de apoyo persistente para la recopilación de datos.

Este grupo cuenta con buenos recursos, es geopolíticamente consciente y representa una amenaza formidable y continua con un enfoque geográfico principal en África, Medio Oriente y Asia.