A seguito di un’analisi durata quasi tre anni, Unit 42 di Palo Alto Networks ha identificato un attore di minacce denominato Phantom Taurus. Precedentemente sconosciuto e sponsorizzato dallo stato cinese non si tratta di un semplice cybercriminale: metodi, strumenti e l’implacabile persistenza lo collocano in una nuova categoria di minacce globali di alto livello.
Perchè Phantom Taurus è così rilevante?
Unico e sofisticato: Phantom Taurus opera con tattiche eccezionali e un arsenale personalizzato di malware non documentato, distinguendolo da tutti gli altri APT cinesi conosciuti. La suite malware, denominata NetStar e progettata per i furti, consente di ottenere accessi backdoor e di operare senza essere rilevata.
Doppio obiettivo della missione: sta prendendo di mira – in modo chirurgico – intelligence ed enti geopolitici di alto livello (ambasciate, ministeri degli esteri, diplomatici) e infrastrutture critiche di telecomunicazione.
Persistenza senza precedenti: è questo l’elemento principale che lo contraddistingue. Quando gli attori di minacce vengono scoperti, di solito si ritirano per settimane o mesi. Phantom Taurus invece si riorganizza e si infiltra nelle reti target entro ore o giorni. La sua missione è così importante che è disposto a rischiare di esporsi per mantenere l’accesso.
Dritto al punto: invece dei comuni attacchi di phishing, Phantom Taurus ricerca meticolosamente i propri obiettivi e bypassa gli utenti per compromettere direttamente le infrastrutture critiche al fine di impossessarsi di caselle di posta o di punti d’appoggio persistenti per la raccolta di dati.
Questo gruppo è ben attrezzato, consapevole a livello geopolitico e rappresenta una minaccia formidabile e continua con un focus geografico primario su Africa, Medio Oriente e Asia.