Nueva amenaza cibernética: el grupo chino Phantom Taurus ataca con sofisticado malware
Una nueva y altamente sofisticada amenaza cibernética de origen chino, denominada Phantom Taurus, está encendiendo las alarmas de seguridad global.
Lo que distingue a este grupo de Amenazas Persistentes Avanzadas (APT) de otros actores maliciosos chinos es el despliegue de una suite de malware a medida, bautizada como NET-STAR, diseñada específicamente para atacar servidores web Microsoft Internet Information Services (IIS).
La peligrosidad de NET-STAR
Según investigaciones de Unit 42 de Palo Alto Networks, el kit de herramientas NET-STAR representa un salto en la sofisticación de los ataques dirigidos. Su principal característica es su capacidad para operar casi enteramente en la memoria de los sistemas infectados, lo que le permite dejar rastros forenses mínimos y evadir la detección por parte de los software antivirus tradicionales.
Phantom Taurus se inscribe en un patrón de grupos APT vinculados a China que llevan a cabo campañas de espionaje cibernético a largo plazo, a menudo con el objetivo de robar datos sensibles de organizaciones de alto perfil, instituciones gubernamentales y empresas. Aunque Phantom Taurus destaca por su malware personalizado NET-STAR, la técnica de atacar servidores expuestos para infiltrarse y sustraer información es un sello distintivo de otros grupos de élite chinos.
El enfoque en servidores web como punto de entrada y la naturaleza persistente de la amenaza recuerdan a otros grupos APT chinos de alto perfil que han comprometido infraestructuras críticas y objetivos políticos.
Históricamente, APTs chinos han sido prolíficos en la explotación de vulnerabilidades en software de servidor, como servidores de correo (ej. Exchange) o gateways VPN, para obtener acceso inicial y establecer puertas traseras duraderas. Phantom Taurus sigue este patrón al enfocarse específicamente en servidores web IIS, un componente vital de muchas redes corporativas y gubernamentales.
Al igual que otros grupos de espionaje, la elección de una suite de malware “sin archivos” y que opera en memoriasubraya un interés en la persistencia y el sigilo en lugar de ataques destructivos. El objetivo principal es permanecer indetectable el mayor tiempo posible para robar grandes volúmenes de información clasificada o sensible.
Los expertos instan a las organizaciones con servidores IIS expuestos a internet a revisar urgentemente sus defensas y aplicar parches y monitoreo avanzado para detectar los movimientos sutiles y basados en memoria de la suite NET-STAR.
