حدد باحثو الأمن السيبراني مجموعة من القرصنة الصينية التي لم تكن موثقة من قبل الدولة التي كانت تطلق عليها فانتوم توروس.
تقرير جديد من فريق Palo Alto Networks 42 Threat Intelligence Team يوضح تحقيقًا متعدد السنوات في فانتوم توروس ، يكشف عن حملة تستهدف الحكومات ومقدمي خدمات الاتصالات في جميع أنحاء الشرق الأوسط وأفريقيا وآسيا.
الهدف الأساسي للمجموعة هو التعبير الإلكتروني ، مع التركيز على سرقة المعلومات الحساسة وغير العامة من أهداف عالية القيمة. على مدار العامين ونصف العام الماضيين ، لاحظت الوحدة 42 Taurus Phantom تركز جهودها على وزارات الشؤون الخارجية والسفارات والعمليات العسكرية ، وغالبًا ما توقيت أنشطتها لتتزامن مع الأحداث الجيوسياسية في تلك المناطق.
يمثل التعيين الرسمي لـ Phantom Taurus تتويجا لعملية تتبع المريض في مجموعة القرصنة الصينية التي بدأت في عام 2022. في البداية ، تمت مراقبة النشاط كمجموعة تحت مرجع CLA-0043. عندما جمع الباحثون مزيدًا من الذكاء ، تمت ترقية المجموعة في مايو 2024 إلى مجموعة مؤقتة ، TGR-STA-0043 ، والتي كانت تُطلق عليها اسم “عملية” الشبح الدبلوماسي. بعد الملاحظة المستمرة ، تم جمع أدلة كافية لتصنيف المجموعة رسميًا على أنها ممثل تهديد متميز وجديد في عام 2025.
“هذا المستوى النادر من البصيرة يعكس عمق ومدة تحقيقنا” ، يقول التقرير ، مع تسليط الضوء على المدى الذي يوفر المراقبة على المدى الطويل فهمًا أكثر شمولاً لتطور العدو والنية الاستراتيجية.
ما يميز Phantom Taurus عن مجموعات التهديد المستمر المتقدمة الصينية (APT) هو مجموعة الفريدة من التكتيكات والتقنيات والإجراءات (TTPs). بينما تستخدم المجموعة بنية تحتية تشغيلية مشتركة تستخدمها الممثلين الصينيين المعروفين مثل Iron Taurus (APT27) و Taurus الفخمة (موستانج باندا) ، فإنها تحافظ على تكسير التشغيل التشغيلي باستخدام مكونات محددة لا تشاهد في حملات أخرى. تمزج مجموعة الأدوات الخاصة بهم أدوات القرصنة الشائعة مثل China Chopper و Phestbacket مع ترسانة مخصصة للبرامج الضارة ، مما يسمح لها بإجراء عمليات سرية عالية والحفاظ على الوصول المستمر إلى الشبكات التي تتعرض للخطر.
في الآونة الأخيرة ، لاحظ الباحثون تطورًا في أساليب جمع بيانات مجموعة القرصنة الصينية. منذ أوائل عام 2025 ، حولت Phantom Taurus تركيزها من سرقة رسائل البريد الإلكتروني ذات الاهتمام في المقام الأول من الخوادم المعرضة للخطر إلى استهداف قواعد البيانات مباشرة. وقد لوحظ المهاجمون باستخدام برنامج نصي مخصص اسمه MSSQ.BAT للاتصال بخوادم SQL وتنفيذ الاستعلامات الديناميكية. سمحت لهم هذه التقنية بالبحث عن وثائق ومعلومات محددة ، بما في ذلك الذكاء المتعلق ببلدان مثل أفغانستان وباكستان.
ربما يكون الاكتشاف الأكثر شهرة هو جناح مخصص لموضوع البرامج الضارة غير الموثقة سابقًا باسم النجوم الشبكي. تمثل مجموعة الأدوات الجديدة هذه ، وهي إطار عمل متطور .NET مصممًا لتسوية خوادم الويب لخدمات معلومات الإنترنت (IIS) ، قفزة في قدرات الممثل. تم اشتقاق اسم النجوم الشبكي من سلاسل موجودة في مسارات قاعدة بيانات برنامج البرامج الضارة (PDB).
يوضح جناح النجوم الشبكي تقنيات التهرب المتقدمة لـ Phantom Taurus وفهمها العميق للهندسة المعمارية .NET ، مما يشكل تهديدًا خطيرًا للخوادم التي تواجه الإنترنت. وهو يتكون من ثلاثة عوامل خلفية أساسية على شبكة الإنترنت. المكون الرئيسي – iiservercore – هو الباب الخلفي والمعياري الذي يعمل بالكامل في ذاكرة عملية العمال IIS ، مما يجعل اكتشاف من الصعب للغاية اكتشافه.
يتم تحميل هذا الباب الخلفي مبدئيًا بواسطة قذيفة ويب ASPX ، وبعدها يمكن أن تتلقى وتنفيذ حمولات إضافية ، وإدارة قذائف الويب الأخرى ، وقواعد بيانات الوصول ، وإجراء عمليات نظام الملفات ، كل ذلك أثناء التواصل من خلال قناة مشفرة. لمزيد من التهرب من الكشف ، استخدمت مجموعة القرصنة الصينية “التوسيع الزمني” ، وهي تقنية تستخدم لتغيير الطوابع الزمنية للملفات الخبيثة لتتناسب مع تلك الشرعية على النظام ، وبالتالي الخلط بين تحليل الطب الشرعي.
يتضمن الجناح أيضًا نسختين من اللودر الخبيث المسمى AssemblyExecuter. على الرغم من أن الإصدار الأول كان أداة بسيطة لتنفيذ مجموعات .NET في الذاكرة ، تم تعزيز الإصدار الأحدث من خلال إمكانيات التهرب المتقدمة. تم تجهيز هذا المتغير الذي تمت ترقيته لتجاوز آليات أمان Windows الحرجة ، وتحديداً واجهة مسح مضادات الأدوات (AMSI) وتتبع الأحداث لنظام التشغيل Windows (ETW) ، مما يسمح لها بالعمل غير المكتشفة في بيئات أكثر أمانًا.
يوضح التحقيق المستمر والتصنيف الناتج لمجموعة القرصنة الصينية Phantom Taurus مدى التهديدات القابلة للتكيف والمستمرة التي ترعاها الدولة. تقول الوحدة 42 إنها شاركت النتائج التي توصل إليها مع زملائهم أعضاء في تحالف تهديدات الإنترنت (CTA) لمساعدة المنظمات على تعزيز دفاعاتها.
انظر أيضا: تيم بيرنرز لي: لم يعد الويب مفتوحًا ومجانيًا
هل تريد معرفة المزيد عن الأمن السيبراني من قادة الصناعة؟ تحقق من Cyber Security & Cloud Expo الذي يقام في أمستردام ، كاليفورنيا ، ولندن. يعد الحدث الشامل جزءًا من TechEx ويتم تحديده مع الأحداث التكنولوجية الرائدة الأخرى ، انقر هنا لمزيد من المعلومات.
يتم تشغيل الاتصالات بواسطة TechForge Media. استكشاف أحداث وندوات الويب الأخرى القادمة هنا.
