Phantom Taurus, un nuevo actor APT vinculado al ecosistema chino, ha sido identificado por Unit 42 como un grupo persistente enfocado en el espionaje contra entidades gubernamentales, ministerios, embajadas y operadores de telecomunicaciones en África, Asia y Oriente Medio. Recientemente, han mejorado su arsenal con la suite NET-STAR, un conjunto de malware fileless diseñado específicamente para comprometer y operar dentro de servidores IIS.
Perfil Técnico y Evolución de Phantom Taurus
Phantom Taurus ha demostrado madurez operativa, pasando de tácticas de robo de correo sencillas a ataques directos contra bases de datos críticas.
- Vínculo con el “Nexo Taurus”: Aunque comparte infraestructura con otros grupos APT chinos como APT27 (Iron Taurus) y Mustang Panda (Stately Taurus), mantiene herramientas y tácticas propias que justifican su promoción a actor formal.
- Cambio de Enfoque a Bases de Datos: El grupo ha ampliado su objetivo de robo de correos electrónicos al ataque directo de bases de datos. Utilizan un script llamado mssq.bat que se conecta a SQL Server (a menudo con credenciales previamente robadas como sa), ejecuta consultas dinámicas y exporta los resultados a archivos CSV, todo ejecutado remotamente vía WMI.
La Suite NET-STAR: Malware Fileless para IIS
La herramienta principal de la nueva campaña es NET-STAR, una suite basada en.NET con componentes altamente evasivos que buscan operar en memoria dentro del proceso del servidor web (w3wp.exe).
IIServerCore: Es el backdoor modular principal. Se ejecuta en memoria (fileless) dentro del servicio IIS (w3wp.exe). Soporta ejecución remota de comandos, carga de payloads y operaciones de archivos. Utiliza cifrado AES para las comunicaciones C2 y emplea timestomping (modificación de marcas de tiempo) para camuflar los artefactos.
AssemblyExecuter: En sus versiones v1 y v2, este componente permite cargar ensamblados .NET dinámicamente desde memoria. La v2 añade técnicas específicas para evadir AMSI (Anti-Malware Scan Interface) y ETW (Event Tracing for Windows), reforzando su sigilo.
Detección y Artefactos: El loader inicial es un web shell ASPX llamado OutlookEN.aspx, que contiene código incrustado para cargar los componentes fileless en la memoria del proceso IIS.
Lo que Representa un Riesgo Mayor
- Salto Táctico Fileless: La suite NET-STAR, al operar sin escribir archivos en disco y evadir herramientas de detección comunes (AMSI, ETW), representa un desafío significativo, ya que las defensas que solo buscan malware basado en archivos son ineficaces.
- Madurez del Actor: El cambio de enfoque hacia bases de datos indica que Phantom Taurus busca fuentes de datos más amplias y valiosas que el simple correo, mostrando una escalada en su ambición.
- Evasión Forense: La capacidad de timestomping confunde las investigaciones forenses al manipular las fechas de creación y modificación de archivos.
Recomendaciones
- Monitoreo de Comportamiento en Memoria
- EDR/XDR Avanzado: Utiliza herramientas de Endpoint Detection and Response (EDR) o eXtended Detection and Response (XDR) que puedan detectar la ejecución de código en memoria y la actividad anómala dentro de procesos legítimos como w3wp.exe.
- Alerta de Loaders: Configura alertas para detectar cuando un módulo ASPX carga ensamblados .NET dinámicamente o codificados en Base64.
- Detección de Manipulación de Metadatos: Monitorea y alerta sobre cambios repentinos o sospechosos en los metadatos de archivos (como las marcas de tiempo).
- Seguridad de Servidores IIS y Web
- Revisión de Web Shells: Realiza una auditoría estricta para detectar la presencia de web shells (archivos como *.aspx, *.ashx, etc.) en sistemas web públicos.
- Parches y Restricción: Mantén IIS y todos sus componentes completamente actualizados. Restringe el acceso de escritura y ejecución a los directorios del servidor web.
- Control de Acceso y Segmentación
- Asegurar Credenciales de BD: Asegúrate de que las cuentas privilegiadas de base de datos (como sa) tengan contraseñas robustas y se aplique un control de uso estricto. Rotar las credenciales después de cualquier indicio de compromiso.
