Nhóm tác chiến kiên trì nâng cao (APT) **Phantom Taurus APT** liên kết với Trung Quốc đã gia tăng **mối đe dọa mạng** và các hoạt động gián điệp nhằm vào các mục tiêu chính phủ và viễn thông tại Châu Phi, Trung Đông và Châu Á. Chiến dịch này được triển khai với bộ mã độc .NET mới có tên gọi **NET-STAR**.

Ban đầu được Unit 42 theo dõi vào tháng 6 năm 2023 dưới dạng cụm hoạt động CL-STA-0043, và tạm thời được định danh là TGR-STA-0043 (Operation Diplomatic Specter) vào tháng 5 năm 2024. Hiện tại, nhóm này đã được xác nhận là một tác nhân đe dọa độc lập, có liên hệ với lợi ích nhà nước của Cộng hòa Nhân dân Trung Hoa (PRC).

Tổng quan về Nhóm APT Phantom Taurus

Trong hơn hai năm rưỡi qua, các chiến dịch của Phantom Taurus APT đã liên tục nhắm mục tiêu vào các Bộ Ngoại giao, Đại sứ quán và các thực thể liên quan đến các sự kiện địa chính trị, cũng như các hoạt động quân sự.

Việc lựa chọn nạn nhân của tác nhân này phù hợp với các ưu tiên chiến lược của PRC, tập trung vào thông tin liên lạc ngoại giao, tình báo liên quan đến quốc phòng và các chức năng chính phủ quan trọng ở các khu vực mà Trung Quốc tìm kiếm ảnh hưởng và thông tin.

Phân biệt Phantom Taurus APT

Trong khi nhiều nhóm APT của Trung Quốc sử dụng các công cụ phổ biến như China Chopper và bộ Potato, **Phantom Taurus APT** tự phân biệt bằng các kỹ thuật, chiến thuật và quy trình (TTPs) độc đáo, được phát triển tùy chỉnh. Các TTPs này cho phép nhóm thực hiện các hoạt động rất bí mật và bền bỉ.

Sau khi thu thập dữ liệu từ xa và phân tích tình báo, Unit 42 đã xác nhận rằng Phantom Taurus chia sẻ một số cơ sở hạ tầng với Iron Taurus (APT27), Starchy Taurus (Winnti) và Stately Taurus (Mustang Panda). Tuy nhiên, nhóm này sử dụng các thành phần độc quyền không được quan sát thấy trong các chiến dịch khác. Sự phân chia này nhấn mạnh một phân khúc hoạt động chuyên biệt trong mạng lưới Trung Quốc rộng lớn hơn.

Khuôn khổ phân loại của Unit 42 đã hướng dẫn quá trình phát triển của CL-STA-0043 từ một cụm hoạt động không rõ ràng thành **nhóm APT Phantom Taurus** được công nhận chính thức. Để biết thêm chi tiết về phân loại này, bạn có thể tham khảo báo cáo của Unit 42 tại đây.

Thông qua phân loại tiến bộ – từ quan sát cụm ban đầu vào tháng 6 năm 2023, định danh nhóm tạm thời vào tháng 5 năm 2024 và phân loại đầy đủ vào năm 2025 – các nhà nghiên cứu đã liên kết các chiến dịch gián điệp dai dẳng của tác nhân này, sự chồng chéo cơ sở hạ tầng và bộ công cụ hiếm có với các mục tiêu của PRC.

Chi tiết Kỹ thuật Tấn công và Mã độc NET-STAR

Vào đầu năm 2025, **nhóm APT Phantom Taurus** đã chuyển từ phương pháp xâm nhập tập trung vào email sang nhắm mục tiêu trực tiếp vào cơ sở dữ liệu. Sự thay đổi này đánh dấu một bước tiến trong chiến lược **tấn công mạng** của nhóm.

Khai thác SQL Server

Phantom Taurus sử dụng một script tùy chỉnh có tên mssq.bat để kết nối với các phiên bản SQL Server thông qua thông tin đăng nhập bị đánh cắp. Script này động thực hiện các truy vấn và xuất kết quả ra các file CSV.

Việc thực thi được điều phối thông qua **Windows Management Instrumentation (WMI)**, một giao diện quản lý mạnh mẽ của Windows. Kỹ thuật này cho phép mã độc được thực thi từ xa và trực tiếp trong bộ nhớ (in-memory execution), tránh việc ghi file ra đĩa và gây khó khăn cho các công cụ phát hiện dựa trên chữ ký file. Khả năng thực thi không cần file trên đĩa giúp **nhóm APT Phantom Taurus** duy trì sự ẩn danh và khả năng tồn tại lâu dài trong các hệ thống bị xâm nhập.

Khám phá và Cấu trúc Mã độc NET-STAR

Một bước đột phá trong cuộc điều tra là việc phát hiện ra **NET-STAR**, một bộ mã độc chưa từng được ghi nhận trước đây, được thiết kế để thỏa hiệp các máy chủ web Internet Information Services (IIS). Tên gọi **NET-STAR** xuất phát từ các chuỗi “STAR” được nhúng trong đường dẫn PDB của mã độc.

Bộ mã độc **NET-STAR** bao gồm ba thành phần dựa trên .NET. Một trong số đó là IIServerCore, một thành phần quan trọng trong việc duy trì quyền truy cập và che giấu hoạt động.

Kỹ thuật Tránh Phát hiện của NET-STAR

**Phantom Taurus APT** tận dụng các kỹ thuật timestomping để sửa đổi dấu thời gian của file trên các web shell và thành phần backdoor. Việc này được thực hiện bằng cách ngẫu nhiên hóa thời gian biên dịch nhằm làm sai lệch dấu vết forensic, gây khó khăn cho quá trình phân tích điều tra.

Cụ thể, thành phần IIServerCore cũng triển khai lệnh changeLastModified. Lệnh này cho phép sửa đổi động siêu dữ liệu của file, một lần nữa nhằm mục đích gây nhầm lẫn cho các công cụ phát hiện xâm nhập và làm phức tạp thêm việc xác định thời điểm và nguồn gốc của sự xâm nhập.

Các Chỉ Số Thỏa Hiệp (IOCs) và Công Cụ Chính

Dựa trên các phân tích, các chỉ số thỏa hiệp và công cụ liên quan đến **Phantom Taurus APT** bao gồm:

• Script Tùy chỉnh:mssq.bat (dùng để khai thác SQL Server).
• Bộ Mã độc: NET-STAR (bao gồm 3 thành phần .NET, với IIServerCore là một trong số đó).
• Kỹ thuật: Sử dụng Windows Management Instrumentation (WMI) cho thực thi từ xa và in-memory.
• Kỹ thuật: Timestomping và lệnh changeLastModified để che giấu dấu vết forensic.

Khuyến Nghị Bảo Vệ

Sự ra đời của **NET-STAR** đánh dấu một sự leo thang đáng kể trong khả năng của các nhóm APT Trung Quốc chống lại các máy chủ hướng ra internet. Các tổ chức vận hành dịch vụ web IIS – đặc biệt là các bộ, đại sứ quán và nhà cung cấp viễn thông ở các khu vực có lợi ích cao – nên thực hiện các biện pháp bảo mật sau:

• Giám sát chặt chẽ: Tăng cường giám sát các hoạt động bất thường trên các máy chủ web IIS và SQL Server.
• Quản lý bản vá: Đảm bảo tất cả các hệ thống, đặc biệt là SQL Server và IIS, được cập nhật các bản vá bảo mật mới nhất một cách thường xuyên.
• Quản lý thông tin xác thực: Thực thi chính sách mật khẩu mạnh, xác thực đa yếu tố (MFA) và thường xuyên xoay vòng thông tin đăng nhập, đặc biệt cho các tài khoản có đặc quyền cao.
• Phát hiện và phản ứng: Triển khai các giải pháp phát hiện và phản ứng điểm cuối (EDR) cùng các hệ thống phát hiện xâm nhập (IDS) để theo dõi các hoạt động WMI và thực thi in-memory đáng ngờ.
• Phân tích Forensic: Cần nâng cao năng lực phân tích forensic để đối phó với các kỹ thuật che giấu dấu vết như timestomping.

Khách hàng của Palo Alto Networks có thể tận dụng các biện pháp bảo vệ sau: Advanced WildFire, Advanced Threat Prevention, Cortex XDR và XSIAM. Các giải pháp này cung cấp khả năng phát hiện và ngăn chặn hiệu quả trước các mối đe dọa như **nhóm APT Phantom Taurus** và mã độc **NET-STAR**.