Phantom Taurus es un actor de espionaje cibernético que ha emergido recientemente como una operación sofisticada alineada con intereses estratégicos de estado. Tras un periodo de observación, analistas han identificado un conjunto propio de herramientas —denominadas colectivamente NET-STAR / IIServerCore en la literatura— y un patrón de ataque consistente dirigido principalmente a gobiernos, embajadas y proveedores de telecomunicaciones en África, Oriente Medio y Asia. Estas capacidades combinan web shells fileless, loaders .NET que operan en memoria, exfiltración directa desde bases de datos y evasiones avanzadas (timestomping, AMSI/ETW bypass), lo que plantea retos importantes para la detección y la respuesta.
¿Quién es Phantom Taurus? — Atribución y victimología
Phantom Taurus es actor distinto y bien organizado, con características que lo alinean a un nexus de capacidades chinas: infraestructura compartida con otros actores conocidos y una selección de blancos coherente con prioridades de inteligencia estatal. El grupo ha sido observado operando desde al menos 2023 y ha centrado su actividad en ministerios, embajadas, operadores de telecomunicaciones y otros objetivos con acceso a información gubernamental y de política exterior.
Medios técnicos y de prensa han corroborado la atribución y el patrón de víctimas: Phantom Taurus ha atacado objetivos en África, Oriente Medio y Asia, y emplea tácticas diseñadas para recopilar inteligencia política y técnica de alto valor. Estas observaciones han motivado alertas y actualizaciones en productos de seguridad y compartición de inteligencia entre firmas.
Herramientas y técnicas distintivas
Los informes públicos describen una suite de herramientas inédita y componentes personalizados que merecen especial atención por su sofisticación y por las dificultades que plantean a la detección:
NET-STAR / IIServerCore — suite de backdoors pensada para servidores IIS que incluye web shells ASPX fileless, loaders de ensamblados .NET en memoria y funciones para gestión de sesiones y operaciones sobre sistema y base de datos. Estas herramientas emplean cifrado y compresión propia para sus comunicaciones y telemetría.
Módulos de evasión — capacidades observadas de timestomping (modificación de timestamps de archivos) y técnicas para dificultar la telemetría estándar (ángulos de bypass a AMSI/ETW en variantes avanzadas). Estas defensas activas reducen los artefactos forenses y complican el análisis automatizado.
Tácticas de exfiltración específicas — evolucionando desde robo de correos a extracción directa de bases de datos, el grupo ha empleado utilidades o scripts (ej.:
mssq.bat, uso desqlcmd) para ejecutar consultas dinámicas y volcar resultados, lo que reduce la necesidad de amplios movimientos laterales para obtener inteligencia específica.
| Tactic / fase | Técnica (MITRE / tipo) | Procedimiento observado | Función del procedimiento |
|---|---|---|---|
| Collection (Exfiltración) | Querying Databases (T1059.004 / similar) / Remote Command Execution (T1047 via WMI) | sqlcmd -S <SERVER> -U sa -P <PASSWORD> -Q "SELECT * FROM DB.dbo.Table WHERE col LIKE '%Afghanistan%'" -s"," -o "C:Tempoutput.csv" | Conexión a SQL Server con credenciales comprometidas, ejecución de consultas dinámicas y exportación a CSV para exfiltración. |
| Lateral movement / Remote Execution | WMI (T1047 / T1021.004-like) | wmic /node:<SQLServer> /user:<user> /password:<pw> process call create "cmd.exe /c C:UsersPublicmssq.bat '<SQLQ>'" / Invoke-WmiMethod -Class Win32_Process -Name Create ... | Ejecución remota de scripts en servidores SQL para realizar consultas/exfiltración sin sesiones interactivas. |
| Initial Access / Persistence | Web shell ASPX — fileless backdoor (T1505.003 / T1055.001-like) | w3wp.exe que carga y ejecuta payload desde OutlookEN.aspx en memoria | Web shell que desempaqueta y ejecuta backdoor NET-STAR en el worker IIS, evitando escritura en disco. |
| C2 / Ejecución / Persistencia | Fileless in-memory execution, Encrypted C2 (T1055/T1071/T1005) | executeSQLQuery, fileRead, run_code, addshell, changeLastModified | Backdoor modular que gestiona sesiones por cookies, comprime/cifra payloads (AES/Base64/GZIP), ejecuta ensamblados .NET en memoria y facilita exfiltración. |
| Defense Evasion | Timestomping / Metadata manipulation | File.SetLastWriteTime() | Cambio de timestamps para confundir la cronología forense. |
| C2 Communications | Custom encryption & data encoding (AES + GZIP + Base64) | var enc = AES_Encrypt(data, key); var compressed = Gzip(enc); var b64 = Convert.ToBase64String(compressed); | Empaquetado y cifrado propio para telemetría y payloads, aumentando la opacidad frente a inspección. |
| Execution (post-compromise) | In-memory .NET assembly loading (T1055.001-like) | Assembly.Load(byte[]) y Invoke(entryPoint, args) | Loader que ejecuta ensamblados en memoria sin generar binarios persistentes en disco. |
| Evasión avanzada | AMSI & ETW bypass (T1562.001 / T1112-style) | Parches o neutralizaciones sobre puntos de trazabilidad | Reduce señales y limita la visibilidad de defensas estándar. |
| Credential / Discovery | File read/write, Execute SQL, Directory listing | fileRead <path>, listDir <path>, executeSQLQuery <conn> <sql> | Funciones nativas del backdoor para recopilar material sensible dentro del servidor comprometido. |
| C2 / Tunneling | Encrypted tunneling / Proxying (T1090/T1572-like) | htran -lport x -r host:port -f | Tunelización para mover datos entre redes y evitar detección perimetral. |
| C2 Session Mgmt | Custom protocol over HTTP (T1071.001) | Cookie: session=abc123; — marcador protocolar (TD-IO / STAR) | Mantener estado entre peticiones HTTP en un entorno fileless; delimitador para parsing de sesiones. |
Nota: la tabla anterior refleja procedimientos observados en incidentes y en descripciones de inteligencia abierta; se presenta en modo observacional para apoyar la detección y la respuesta, no como guía operativa
Impacto operativo y riesgos clave
Alta probabilidad de recolección dirigida: la capacidad para ejecutar consultas SQL parametrizadas con credenciales privilegiadas permite búsquedas ad hoc (por país, término o tabla) y salida directa a archivos, acelerando la obtención de inteligencia sensible y reduciendo el esfuerzo operativo del adversario.
Dificultad para la detección tradicional: la ejecución in-memory, la eliminación o modificación de artefactos en disco y el cifrado propio del C2 hacen que las estrategias basadas en firmas o en búsqueda de archivos maliciosos sean insuficientes.
Victimología con impacto geopolítico: objetivos como ministerios, embajadas y operadores de telecomunicaciones elevan el riesgo estratégico y reputacional de los compromisos, y complican las decisiones sobre divulgación y mitigación.
Recomendaciones operativas
Estrategia: aumentar la visibilidad en procesos críticos, proteger la integridad de registros y desarrollar detecciones basadas en comportamiento y contexto.
Visibilidad y alertas sobre IIS /
w3wp.exeRegistrar y alertar cargas inusuales en memoria, spawn de procesos (p. ej.
w3wp.exe→cmd.exe) y patrones de petición HTTP anómalos (cookies persistentes, payloads repetitivos codificados).
Detección de actividad SQL sospechosa
Auditar uso de
sqlcmd, exportaciones a rutas temporales/usuario y ejecuciones con cuentas privilegiadas (sa), correlacionando con actividad de red y procesos padres.
Monitoreo y protección frente a WMI remota
Detectar llamadas a
Win32_Process.Createque no provengan de flujo administrativo autorizado; restringir el uso de DCOM/WinRM donde sea posible.
Telemetría de memoria y reflective loading
Implementar detecciones para
Assembly.Load(byte[]), uso de reflection, y patrones de in-memory execution; mapear esto a reglas EDR y SIEM.
Protección de logs y evidencia
Centralizar registros en almacenamiento inmutable (WORM) y asegurar captura de network flow y logs IIS fuera del host para prevenir borrados y timestomping.
Inspección contextual del tráfico HTTP cifrado
Analizar frecuencia, tamaños, encabezados y delimitadores (cookies/markers) para detectar protocolos personalizados sobre HTTP.
Endurecimiento de bases de datos y accesos
Segmentación de red para SQL Server, deshabilitación o rotación forzada de cuentas
sa, autenticación multifactor para admin y auditoría de consultas.
Preparación de playbooks IR y coordinación legal
Actualizar runbooks para escenarios con ausencia de artefactos en disco y para la respuesta ante exfiltración dirigida de datos sensibles; coordinar comunicación con áreas legales y de relaciones públicas.
Señales de alerta
w3wp.execargando ensamblados en memoria o ejecutandocmd.exe.Peticiones HTTP con payloads repetidos codificados (Base64/GZIP) y cookies de sesión persistentes.
Creación de dumps/CSV en rutas temporales por procesos no habituales.
Eventos WMI/WMIC que invoquen
Win32_Process.Createdesde hosts no autorizados.Archivos ASPX con metadatos (timestamps) recientes o modificados sospechosamente.
Detecciones de reflective loading o AMSI/ETW anomalías.
Conclusión
Phantom Taurus representa un actor con capacidades sofisticadas y objetivos de alto valor, caracterizado por herramientas diseñadas para operar en servidores web y bases de datos con una huella mínima en disco. Las organizaciones que administren infraestructuras IIS, bases de datos SQL expuestas o servicios públicos críticos deben priorizar la visibilidad en memoria, la protección y auditoría de accesos a datos y la correlación entre telemetrías de endpoint, red y aplicación. Estas medidas reducirán significativamente la ventaja operativa que obtiene un adversario con las capacidades descritas.
