СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Новости
Артем
02.10.2025
#ИБ#Инфра

Китайских хакеров обвинили в атаках на правительственные и телекоммуникационные структуры в Азии, Африке и на Ближнем Востоке

Китайских хакеров обвинили в атаках на правительственные и телекоммуникационные структуры в Азии, Африке и на Ближнем Востоке

Изображение: recraft

Исследователи компании Palo Alto Networks выявили новую кибершпионскую группировку, деятельность которой якобы ориентирована на интересы КНР. Группа, получившая название Phantom Taurus, как минимум с начала 2022 года проводит масштабные операции против государственных и телекоммуникационных структур на Ближнем Востоке, в Азии и Африке. В отчёте аналитиков из команды Unit 42, заявлено, что атакуемые цели связаны с дипломатией, безопасностью и военными ведомствами.

Ранее действия группы классифицировались как кластер CL-STA-0043, затем — как временная структура TGR-STA-0043 в рамках кампании Operation Diplomatic Specter. Теперь Unit 42 выделила Phantom Taurus как самостоятельного игрока в сфере кибершпионажа, способного проводить длительные разведывательные миссии и адаптироваться к изменению целей.

Главной особенностью Phantom Taurus является её акцент на стратегическую разведку. Группа концентрирует внимание на дипломатических коммуникациях, внутренней переписке МИД, событиях геополитической важности и оборонной информации. Часто фазы активности Phantom Taurus совпадают с международными переговорами, конфликтами и политическим давлением в регионе.

Если ранее основным методом был взлом почтовых серверов и извлечение писем, то с 2024 года тактика изменилась. Группа перешла к атакам на SQL-серверы. Используется специальный пакетный скрипт mssq.bat, который запускается удалённо через WMI (Windows Management Instrumentation) — это позволяет действовать в обход антивирусов, используя стандартные средства ОС Windows (так называемые LotL-методы — Living off the Land).

Сценарий атаки следующий:

  • хакеры получают доступ к SQL-серверу, используя системную учётную запись и заранее украденный пароль;
  • запускаются команды, анализирующие содержимое БД (например, поиск по ключевым словам, связанным со странами или ведомствами);
  • результаты сохраняются в CSV-файлы и выгружаются на внешние серверы.

Этот сдвиг в тактике говорит о том, что Phantom Taurus переходит к более избирательному и структурированному сбору разведданных, выходя за рамки простого контроля над почтой.

Отдельное внимание в отчёте уделено используемой инфраструктуре. Phantom Taurus применяет уникальные серверы и домены, ранее не замеченные в операциях других китайских группировок, таких как Iron Taurus (APT27), Mustang Panda (Stately Taurus) или Starchy Taurus. Это указывает на определённую независимость внутри китайской кибероперативной среды, несмотря на общую технологическую и тактическую схожесть.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: