中国APT"幻影金牛"使用Net-Star恶意软件攻击组织

根据Palo Alto Networks的报告，一个被称为"幻影金牛"的中国国家支持黑客组织两年多来一直以政府和电信组织为间谍活动目标。

该APT组织最初于2023年被发现，直到最近才通过共享基础设施与中国黑客组织联系起来，因为其战术、技术和程序与通常与中国威胁行为者相关的TTPs不同。

独特的攻击特征

该组织使用中国APT专属的共享运营基础设施，并针对符合中国经济和地缘政治利益的高价值组织。

“幻影金牛"的独特之处在于使用不同的TTPs，包括其特有的Specter和Net-Star恶意软件家族，以及Ntospy恶意软件。其工具库中还包括中国黑客常用的工具。

2025年，该组织开始使用Net-Star，这是一个针对IIS Web服务器的.NET恶意软件套件，包含三个基于网络的木马：

IIServerCore木马支持内置命令，可执行文件系统操作、访问数据库、执行任意代码、管理Web shell、规避安全解决方案、直接在内存中加载payload，并加密与C&C的通信。

AssemblyExecuter V1可在内存中执行其他.NET程序集，允许攻击者在入侵后动态加载和执行额外代码。

AssemblyExecuter V2具有相同的核心目的，但具有增强的规避能力，具有专门的方法来绕过Windows的反恶意软件扫描接口和Windows事件跟踪安全机制。

该APT组织被观察到针对电子邮件服务器以窃取感兴趣的邮件，并直接针对数据库，攻击非洲、中东和亚洲的组织。

报告指出：“我们观察到该组织对外交通信、国防相关情报和关键政府部门运作感兴趣。该组织行动的时间和范围经常与重大全球事件和地区安全事务相吻合。”