研究人员发现了一个先前未知的威胁行为者，其行动与中国的情报收集利益一致。该组织主要针对非洲、中东和亚洲的政府与电信机构，目的是维持对关键系统的长期隐蔽访问。

过去两年，Palo Alto Networks的研究人员调查了多个恶意活动集群，现已将这些攻击归因于同一组织：幻影金牛（Phantom Taurus）。此前，该公司使用临时名称追踪这些攻击，如CL-STA-0043、TGR-STA-0043或"外交幽灵行动"。

“我们的观察显示，幻影金牛主要关注领域包括外交部、大使馆、地缘政治事件和军事行动，“研究人员在新报告中写道。“该组织的主要目标是间谍活动。其攻击展示了隐蔽性、持久性以及快速调整战术、技术和程序的能力。”

该组织广泛的自定义恶意软件工具集包括三个先前未记录的Microsoft Internet Information Services（IIS）Web服务器后门，研究人员将其命名为NET-STAR。其他工具包括内存中的Visual Basic脚本植入程序、名为Specter的恶意软件家族（包含TunnelSpecter DNS隧道程序和SweetSpecter远程访问木马）、Agent Racoon、PlugX、Gh0st RAT、中国菜刀、Mimikatz、Impacket以及许多其他双重用途工具和系统管理实用程序。

战术变化

此前，幻影金牛专注于使用已知漏洞（如ProxyLogon和ProxyShell）入侵Exchange服务器，收集感兴趣的邮箱。但今年研究人员注意到攻击者开始搜索并从SQL数据库中提取数据。

该组织使用Windows管理规范工具执行名为mssq.bat的脚本，该脚本使用sa账户ID和攻击者先前获得的密码连接到SQL数据库。然后根据脚本中指定的特定关键词执行动态搜索，将结果保存为CSV文件。

“威胁行为者使用此方法搜索感兴趣的文件以及与阿富汗和巴基斯坦等特定国家相关的信息，“研究人员表示。

NET-STAR恶意软件套件

今年在幻影金牛工具集中新发现的是一组基于Web的后门，旨在与IIS Web服务器交互。

主要组件IIServerCore在w3wp.exe IIS工作进程的内存中运行，能够将其他无文件负载直接加载到内存中，执行任意命令和命令行参数。

“IIServerCore的初始组件是一个名为OutlookEN.aspx的ASPX Web shell，“研究人员写道。“该Web shell包含一个嵌入的Base64压缩二进制文件，即IIServerCore后门。当Web shell执行时，它将后门加载到w3wp.exe进程的内存中，并调用Run方法，这是IIServerCore的主要功能。”

另一个名为AssemblyExecuter V1的组件设计用于在内存中执行.NET程序集字节码，而增强版本AssemblyExecuter V2能够绕过反恶意软件扫描接口和Windows事件跟踪。

“该组件看似良性的代码结构导致在撰写本文时，VirusTotal上的防病毒引擎标记极少，“研究人员表示。“这展示了威胁行为者可以用来创建避免使用检测系统可能解释为恶意的明显代码的工具的技术。”

幻影金牛使用过去仅与其他中国威胁行为者相关的APT运营基础设施，如Iron Taurus、Starchy Taurus和Stately Taurus。然而，幻影金牛使用的特定基础设施组件未在其他组织中观察到，表明这是一个将其运营分隔开的独立组织。