Selon Unit 42 (Palo Alto Networks), cette recherche détaille un nouvel acteur étatique chinois, « Phantom Taurus », menant des opérations d’espionnage sur le long terme contre des organisations gouvernementales et des télécoms en Afrique, au Moyen-Orient et en Asie.

L’enquête (sur plus de deux ans et demi) décrit l’évolution du groupe : passage d’un vol de données centré sur l’email à un ciblage direct des bases de données. Les objectifs observés s’alignent avec des intérêts stratégiques de la RPC, notamment les communications diplomatiques, le renseignement de défense et des opérations gouvernementales critiques, avec une activité corrélée à d’importants événements géopolitiques.

Côté technique, Phantom Taurus déploie NET-STAR, une suite malware sophistiquée en .NET opérant entièrement en mémoire au sein des processus IIS (w3wp). Le composant principal, IIServerCore, agit comme backdoor fileless, chargé via un web shell ASPX (« OutlookEN.aspx ») contenant des binaires compressés Base64. La C2 est chiffrée en AES (mode ECB, padding PKCS7), la backdoor offre 20+ commandes (opérations fichiers, exécution SQL, gestion de web shells) et maintient l’état de session via cookies. AssemblyExecuter v1 charge des assemblies .NET en mémoire ; v2 ajoute des contournements AMSI et ETW avec sélection dynamique selon les paramètres.

Le groupe a intensifié l’exfiltration de bases SQL via des scripts mssq.bat exécutés par WMI, se connectant à des serveurs SQL avec des identifiants compromis pour interroger et exporter des données selon des mots-clés. Tous les composants emploient le timestomping (timestamps de compilation modifiés vers des dates futures aléatoires) afin d’échapper à la détection. Le code, à l’apparence bénigne, entraîne une détection antivirus minimale tout en conservant des capacités avancées.

TTPs observés:

  • Initialisation via web shell ASPX (« OutlookEN.aspx ») et chargement fileless dans IIS
  • Backdoor IIServerCore avec C2 chiffrée AES-ECB et gestion de session par cookies
  • Chargement d’assemblies .NET en mémoire (AssemblyExecuter v1/v2) et contournements AMSI/ETW
  • Exécution WMI de scripts (mssq.bat) pour requêtes/exfiltration SQL avec identifiants compromis
  • Timestomping (timestamps futurs aléatoires) et exécution en mémoire pour l’évasion

IOCs (extraits du texte):

  • Noms/fichiers mentionnés: « OutlookEN.aspx », « mssq.bat »

Conclusion: analyse de menace documentant un nouvel acteur APT, ses outils .NET en mémoire ciblant IIS et ses techniques d’exfiltration orientées bases de données, publiée à des fins de renseignement et d’attribution.

🧠 TTPs et IOCs détectés

TTPs

[‘Initialisation via web shell ASPX (« OutlookEN.aspx ») et chargement fileless dans IIS’, ‘Backdoor IIServerCore avec C2 chiffrée AES-ECB et gestion de session par cookies’, ‘Chargement d’assemblies .NET en mémoire (AssemblyExecuter v1/v2) et contournements AMSI/ETW’, ‘Exécution WMI de scripts (mssq.bat) pour requêtes/exfiltration SQL avec identifiants compromis’, ‘Timestomping (timestamps futurs aléatoires) et exécution en mémoire pour l’évasion’]

IOCs

[‘OutlookEN.aspx’, ‘mssq.bat’]

🔗 Source originale : https://unit42.paloaltonetworks.com/phantom-taurus/

🖴 Archive : https://web.archive.org/web/20250930201503/https://unit42.paloaltonetworks.com/phantom-taurus/