パロアルトネットワークスの報告によると、「Phantom Taurus」として追跡されている中国の国家支援型ハッキンググループが、2年以上にわたり政府機関や通信組織をスパイ活動のために標的にしています。
2023年に初めて観測されたこのAPTは、戦術・技術・手順(TTP)が中国発の脅威アクターによく見られるものとは異なるため、最近になってインフラの共通点から中国のハッキンググループと関連付けられました。
「これらにより、グループは高度に秘匿された作戦を実行し、重要な標的への長期的なアクセスを維持することが可能です」とパロアルトネットワークスは述べています。
同社によると、このグループは中国のAPTに特有の共有運用インフラを使用し、(外務省や大使館などの)高価値組織を標的としており、中国の経済的・地政学的利益に沿った活動を行っています。
しかし、Phantom Taurusの特徴は、独自のTTPセットを使用している点にあり、SpecterやNet-Starなどの独自マルウェアファミリーやNtospyマルウェアが含まれます。中国のハッカーが一般的に使用するChina Chopper、Potatoスイート、Impacketといったツールもそのインベントリの一部です。
このAPTは、アフリカ、中東、アジアの組織に対する攻撃で、関心のあるメールメッセージの流出を目的にメールサーバーを標的にしたり、データベースを直接攻撃したりしていることが観測されています。
2025年には、同グループはIISウェブサーバーを標的とする.NETマルウェアスイート「Net-Star」の使用を開始しました。これは、3つのウェブベースのバックドア(IIServerCore〔ファイルレスバックドア〕と2つのAssemblyExecuterバリアント〔.NETマルウェアローダー〕)で構成されています。
IIServerCoreバックドアは完全にメモリ上で動作します。ペイロードや引数を受信・実行し、その結果をC&C(コマンド&コントロール)サーバーに送信できます。
広告。スクロールして続きをお読みください。
ファイルシステム操作、データベースアクセス、任意コードの実行、ウェブシェルの管理、セキュリティソリューションの回避・バイパス、ペイロードのメモリ直接ロード、C&Cとの通信の暗号化など、組み込みコマンドをサポートしています。
最初のマルウェアローダーであるAssemblyExecuter V1は、他の.NETアセンブリをメモリ上で実行できるため、攻撃者は侵害後に追加のコードを動的にロード・実行できます。
AssemblyExecuter V2も同じ基本目的を持ちますが、WindowsのAMSI(Antimalware Scan Interface)やETW(Event Tracing for Windows)などのセキュリティ機構をバイパスする専用手法を備え、回避能力が強化されています。
「このグループは、外交通信、防衛関連のインテリジェンス、重要な政府省庁の運営に関心を示していることが観測されました。グループの活動のタイミングや範囲は、世界的な主要イベントや地域の安全保障問題としばしば一致しています」とパロアルトネットワークスは述べています。
関連記事: サイバーセキュリティ啓発月間2025:重要インフラを守るためのアイデンティティ優先
関連記事: サイバー創業者の成功レシピ:明確なビジョンと信頼できる専門家
