"Threat Intelligence investigation of Chinese APT group Phantom Taurus"
Группа: Phantom Taurus (Китайская APT)
Период: 2021-2025 (3.5+ лет активность)
Расследование провел: Errorov404 / Error404osint
Дата отчёта: Ноябрь 2025
Полное расследование кибершпионской операции, от первоначального инцидента утечки данных до раскрытия методов работы nation-state группы.
- Кража идентичности: Группа использует личность реального эксперта по безопасности Pedro Tavares (Португалия)
- Кастомные инструменты: NET-STAR платформа для атак на IIS серверы
- Инфраструктура: Многоэтапная схема с использованием Google Cloud и телеком-провайдеров Бахрейна
- Стелс-методы: In-memory execution, timestomp, AMSI/ETW bypass
- Африка
- Ближний Восток
- Азия
- Основные цели: правительства, телеком-компании, дипломатические миссии
NET-STAR Платформа:
IIServerCore- файловый бэкдор с AES шифрованиемAssemblyExecuter V1- базовый загрузчик .NET сборокAssemblyExecuter V2- улучшенная версия с обходом защиты
/PHANTOM-TAURUS---APT--/ ├── 📄 README.md (главный отчёт) ├── 📊 iocs.txt (индикаторы компрометации) ├── 🎯 mitre-detailed.md (детальная матрица MITRE) ├── 🛡️ detection-recommendations.md (правила детектирования) ├── 📜 certificates/ │ └── README.md (сертификаты и матрица навыков) └── 🔍 evidence/ (доказательства - в будущем)
Дополнительные инструменты:
Mimikatz, Htran, Yasso, Impacket, China Chopper, Gh0st RAT,cybersecurity
threat-intelligence
apt
osint
ioc
mitre-attack