中国APT组织幻影金牛使用Net-Star恶意软件针对关键部门进行网络间谍活动

中国背景的APT组织幻影金牛（Phantom Taurus）使用Net-Star恶意软件针对政府和电信组织进行间谍活动，采用独特的战术、技术和程序（TTPs）。

幻影金牛是一个先前未记录的中国APT组织，在过去两年半中针对非洲、中东和亚洲的实体进行攻击。该APT组织的活动重点包括外交部、大使馆、地缘政治事件和军事行动。Palo Alto Networks研究人员发现该组织进行隐蔽、持久的间谍活动。其独特的TTPs和自定义的NET-STAR工具使其能够获得隐蔽的长期访问权限，这使其与其他中国APT组织区别开来。

研究人员在2023年首次发现该组织，该组织进行高度隐蔽的操作，并长期保持对高价值目标的访问权限。

幻影金牛使用共享的中国APT基础设施，但组件独特。其独特的TTPs和自定义工具（包括Specter、Ntospy和NET-STAR）使其与其他攻击者区分开来。使用钻石模型，研究人员确认观察到的活动代表了一个新的、独立的威胁行为者，与中国战略情报优先事项一致。

幻影金牛在2025年初从窃取电子邮件转向针对数据库。他们使用脚本mssq.bat，通过泄露的凭据连接到SQL Server数据库。然后攻击者执行查询，将结果导出到CSV，并关闭连接。他们通过WMI部署脚本，重点关注与阿富汗和巴基斯坦等国相关的文件。这标志着他们从之前以电子邮件为重点的操作中发生了战术演变。

“我们对幻影金牛活动的持续监控揭示了我们在2025年初首次观察到的战术演变。自2023年以来，幻影金牛一直专注于从电子邮件服务器窃取敏感和特定的感兴趣电子邮件，正如我们在之前的文章中描述的那样。”研究人员发布的报告中写道。“然而，我们的遥测数据表明，从这种以电子邮件为中心的方法转向直接针对数据库。”

这个中国背景的APT部署了先前未检测到的.NET恶意软件套件NET-STAR，该套件针对IIS Web服务器。分析师在PDB路径和Base64数据中发现了NET-STAR字符串，将该工具与该组织联系起来。该套件包括三个Web后门：

• ISServerCore：一个无文件、模块化的后门，在内存中运行有效负载；
• AssemblyExecuter V1：在内存中加载和执行额外的.NET有效负载；
• AssemblyExecuter V2：一个增强的加载器，还可以绕过AMSI和ETW。NET-STAR展示了高级的.NET逃避技术，对面向互联网的服务器构成严重风险。

IIServerCore作为NET-STAR套件中的主要无文件IIS后门，在Web shell（OutlookEN.aspx）删除Base64有效负载后，完全在w3wp.exe进程的内存中加载和运行。它建立加密的AES C2会话，通过cookie跟踪状态，并从Base64动态加载.NET程序集。它支持文件I/O、数据库查询、任意代码执行、Web shell管理和AMSI逃避，所有这些都不会在磁盘上留下任何工件。操作人员使用时间戳篡改文件和changeLastModified命令来隐藏编译时间戳并阻碍取证。

NET-STAR还包括两个AssemblyExecuter加载器：v1在内存中加载和运行.NET程序集，而v2增加了选择性AMSI和ETW绕过例程，以便在严密监控的环境中操作。这些组件共同实现了针对面向互联网的IIS服务器的隐蔽、持久、内存中的攻击链。

“该组织独特的作案手法，加上其先进的操作实践，使幻影金牛与其他中国APT组织区别开来。”Palo Alto Networks总结道。