{"id":159621,"date":"2025-09-30T03:00:07","date_gmt":"2025-09-30T10:00:07","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=159621"},"modified":"2025-09-30T08:35:04","modified_gmt":"2025-09-30T15:35:04","slug":"phantom-taurus","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/","title":{"rendered":"Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR"},"content":{"rendered":"<h2><a id=\"post-159621-_heading=h.nuxxna1eu6za\"><\/a>Resumen ejecutivo<\/h2>\n<p>Phantom Taurus es un actor de Estado-naci\u00f3nno documentado previamente cuyas operaciones de espionaje se alinean con los intereses estatales de la Rep\u00fablica Popular China (RPC). En los \u00faltimos dos a\u00f1os y medio, los investigadores de Unit\u00a042 han observado que Phantom Taurus ataca organizaciones gubernamentales y de telecomunicaciones en \u00c1frica, Medio Oriente y Asia.<\/p>\n<p>Seg\u00fan nuestras observaciones, las principales \u00e1reas de inter\u00e9s de Phantom Taurus son los ministerios de asuntos exteriores, las embajadas, los acontecimientos geopol\u00edticos y las operaciones militares. El objetivo principal del grupo es el espionaje. Sus ataques demuestran sigilo, persistencia y capacidad para adaptar r\u00e1pidamente sus t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP).<\/p>\n<p>Lo que diferencia a Phantom Taurus de otros actores del nexo de amenazas persistentes avanzadas (APT) chinas es su peculiar conjunto de TTP. Esto permite al grupo llevar a cabo operaciones altamente encubiertas y mantener un acceso a largo plazo a objetivos cr\u00edticos. Este art\u00edculo aporta m\u00e1s datos sobre las TTP recientemente observadas del actor de amenazas y revela una herramienta personalizada no documentada previamente en el arsenal de Phantom Taurus, llamada NET-STAR.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa\/\" target=\"_blank\" rel=\"noopener\">Publicamos nuestro primer art\u00edculo<\/a> sobre este cl\u00faster de actividad (originalmente rastreado como CL-STA-0043) en junio de 2023. En mayo de 2024, promovimos la clasificaci\u00f3n de este cl\u00faster a un grupo temporal, que designamos como <a href=\"https:\/\/unit42.paloaltonetworks.com\/operation-diplomatic-specter\/\" target=\"_blank\" rel=\"noopener\">TGR-STA-0043<\/a> y apodamos Operaci\u00f3n Espectro Diplom\u00e1tico. Las investigaciones en curso sobre este grupo profundizaron nuestro conocimiento de las operaciones del actor de amenazas y nos permitieron determinar su conexi\u00f3n con el nexo chino. Este poco frecuente nivel de conocimiento refleja la profundidad y la duraci\u00f3n de nuestra investigaci\u00f3n.<\/p>\n<p>Tras una observaci\u00f3n continua y la recopilaci\u00f3n de informaci\u00f3n de inteligencia en el \u00faltimo a\u00f1o, hemos acumulado pruebas suficientes para clasificar al grupo temporal como un nuevo actor de amenazas. Nuestro proceso de atribuci\u00f3n y maduraci\u00f3n de cl\u00fasteres se basa en <a href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-attribution-framework\">el marco de atribuci\u00f3n de Unit\u00a042<\/a>. En la Figura\u00a01, se muestra el proceso de promoci\u00f3n de Phantom Taurus de un cl\u00faster de actividad a un actor de amenazas con denominaci\u00f3n formal.<\/p>\n<p>En la Figura\u00a01, se muestra el proceso de promoci\u00f3n de Phantom Taurus de un cl\u00faster de actividad a un actor de amenazas con denominaci\u00f3n formal.<\/p>\n<figure id=\"attachment_159793\" aria-describedby=\"caption-attachment-159793\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159793 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-786x318.png\" alt=\"Cronolog\u00eda de 2022 a 2025 que muestra la evoluci\u00f3n de un grupo de ciberamenazas. Comienza como el Cl\u00faster de Actividad CLA-STA-0043 en 2022, progresa a Nombre de Grupo Temporal TGR-STA-0043 en 2024 y se convierte en Phantom Taurus, un nuevo actor de amenazas nombrado formalmente para 2025. Incluye los logotipos de Palo Alto Networks y Unit 42.\" width=\"1000\" height=\"405\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-786x318.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-1729x700.png 1729w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-768x311.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-1536x622.png 1536w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1.png 1840w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159793\" class=\"wp-caption-text\">Figura 1. El proceso de maduraci\u00f3n de Phantom Taurus.<\/figcaption><\/figure>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y\u00a0<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 99.1172%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 188.45%;\"><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/antimalware-scan-interface-portal\" target=\"_blank\" rel=\"noopener\"><strong>Actor de amenazas<\/strong><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/tgr-sta-0043-es-la\/\" target=\"_blank\" rel=\"noopener\">TGR-STA-0043<\/a><\/strong>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cl-sta-0043-es-la\/\" target=\"_blank\" rel=\"noopener\">CL-STA-0043<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-159621-_heading=h.j9der8fligyu\"><\/a>Phantom Taurus: La evoluci\u00f3n de un actor de amenazas<\/h2>\n<p>Phantom Taurus es un grupo APT chino que realiza operaciones de recopilaci\u00f3n de inteligencia a largo plazo contra objetivos de alto valor para obtener informaci\u00f3n confidencial y no p\u00fablica.<\/p>\n<p>El grupo ataca principalmente a entidades gubernamentales y proveedores de servicios p\u00fablicos de Medio Oriente, \u00c1frica y Asia. Los patrones de selecci\u00f3n de objetivos coinciden con los intereses econ\u00f3micos y geopol\u00edticos de la Rep\u00fablica Popular China (RPC). Observamos que el grupo se interesa por las comunicaciones diplom\u00e1ticas, la inteligencia relacionada con la defensa y las operaciones de ministerios gubernamentales cr\u00edticos. El calendario y el alcance de las operaciones del grupo suelen coincidir con grandes acontecimientos mundiales y asuntos de seguridad regional.<\/p>\n<p>Nuestro an\u00e1lisis t\u00e9cnico revela que el grupo emplea un conjunto \u00fanico de herramientas desarrolladas a medida e implementa t\u00e9cnicas que rara vez se observan en el panorama de las amenazas. La lista de TTP figura en el <a href=\"#post-159621-_heading=h.birxd6qne85k\" target=\"_blank\" rel=\"noopener\">Ap\u00e9ndice\u00a0A<\/a>.<\/p>\n<p>El peculiar modus operandi de este grupo, combinado con sus avanzadas pr\u00e1cticas operativas, distingue a Phantom Taurus de otros grupos de APT chinos. La designaci\u00f3n de este grupo como un grupo de APT chino diferenciado est\u00e1 respaldada por m\u00faltiples factores de atribuci\u00f3n, como se ilustra en el <a href=\"https:\/\/www.threatintel.academy\/wp-content\/uploads\/2020\/07\/diamond_summary.pdf\" target=\"_blank\" rel=\"noopener\">modelo de atribuciones tipo diamante<\/a> que se muestra en la Figura\u00a02.<\/p>\n<figure id=\"attachment_159721\" aria-describedby=\"caption-attachment-159721\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159721 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-2-Diamond-Model-588x440.png\" alt=\"Marco del Modelo Diamante para Phantom Taurus. Las secciones incluyen Capacidades, que abarcan diverso malware y herramientas como Ghost RAT y Yama; Infraestructura, con similitudes a otros grupos; y Victimolog\u00eda, que incluye entidades en Oriente Medio, \u00c1frica y Asia.\" width=\"1000\" height=\"748\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-2-Diamond-Model-588x440.png 588w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-2-Diamond-Model-935x700.png 935w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-2-Diamond-Model-768x575.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-2-Diamond-Model-1536x1149.png 1536w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601-Phantom-Taurus-Figure-2-Diamond-Model-2048x1533.png 2048w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159721\" class=\"wp-caption-text\">Figura 2. Representaci\u00f3n del Modelo Diamante de Phantom Taurus.<\/figcaption><\/figure>\n<h3><a id=\"post-159621-_heading=h.et34x7dtytcs\"><\/a>Desglose del modelo de atribuciones tipo diamante<\/h3>\n<p><a id=\"post-159621-_heading=h.te20vqmo7ah6\"><\/a>Establecimos la atribuci\u00f3n de Phantom Taurus mediante un an\u00e1lisis exhaustivo de los siguientes elementos del modelo tipo diamante:<\/p>\n<ul>\n<li><strong>Infraestructura:<\/strong> Phantom Taurus utiliza una infraestructura operativa de APT china compartida que actores de amenazas chinos han usado exclusivamente, incluidos Iron Taurus (aka <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/apt27\/\" target=\"_blank\" rel=\"noopener\">APT27<\/a>), <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/starchy-taurus\/\" target=\"_blank\" rel=\"noopener\">Starchy Taurus<\/a> (aka <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/winnti\/\" target=\"_blank\" rel=\"noopener\">Winnti<\/a>) and <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/stately-taurus-es-la\/\" target=\"_blank\" rel=\"noopener\">Stately Taurus<\/a> (aka <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/mustang-panda\/\" target=\"_blank\" rel=\"noopener\">Mustang Panda<\/a>). Sin embargo, los componentes espec\u00edficos de la infraestructura usados por Phantom Taurus no se han observado en operaciones de otros actores de amenazas, lo que indica una compartimentaci\u00f3n operativa dentro de este ecosistema compartido.<\/li>\n<li><strong>Victimolog\u00eda:<\/strong> El grupo ataca sistem\u00e1ticamente organizaciones de alto valor que tienen acceso a informaci\u00f3n confidencial no p\u00fablica. En los \u00faltimos a\u00f1os, hemos observado que Phantom Taurus ataca a organizaciones gubernamentales y del sector de las telecomunicaciones, en particular a las que brindan servicios e infraestructura. Este grupo centra sus operaciones en Medio Oriente, \u00c1frica y Asia, lo que refleja las prioridades de recopilaci\u00f3n de inteligencia que coinciden con los intereses estrat\u00e9gicos chinos.<\/li>\n<li><strong>Capacidades:<\/strong> Phantom Taurus emplea un conjunto de TTP que lo diferencia de otros actores de amenazas. Varias de estas t\u00e9cnicas no se han observado en operaciones de otros grupos, mientras que otras son lo suficientemente raras como para que solo se haya observado a unos pocos actores usando m\u00e9todos similares. Adem\u00e1s de herramientas comunes como China Chopper, la suite Potato e Impacket, el grupo usa herramientas personalizadas, incluidas la familia de malware Specter, Ntospy y la suite de malware NET-STAR descrita <a href=\"#post-159621-_heading=h.60oyc33qho2m\" target=\"_blank\" rel=\"noopener\">m\u00e1s adelante en este art\u00edculo<\/a>.<\/li>\n<\/ul>\n<p>En el modelo de atribuciones tipo diamante con los tres nodos que aparecen en la Figura\u00a02, trazamos un mapa de las similitudes y los solapamientos del grupo con otros actores de amenazas. A medida que rastre\u00e1bamos la actividad durante un per\u00edodo prolongado, se hizo evidente que las actividades que observamos eran llevadas a cabo por un nuevo actor de amenazas.<\/p>\n<h3><a id=\"post-159621-_heading=h.aedihzbsy7nu\"><\/a>Trazando el rumbo del correo electr\u00f3nico a las bases de datos: nuevos m\u00e9todos de recopilaci\u00f3n de datos de Phantom Taurus<\/h3>\n<p>El seguimiento continuo de las actividades de Phantom Taurus ha revelado una evoluci\u00f3n t\u00e1ctica que observamos por primera vez a principios de 2025. Desde 2023, Phantom Taurus se ha centrado en robar correos electr\u00f3nicos confidenciales y espec\u00edficos de inter\u00e9s de los servidores de correo electr\u00f3nico, como describimos en un <a href=\"https:\/\/unit42.paloaltonetworks.com\/operation-diplomatic-specter\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo anterior<\/a>. Sin embargo, nuestra telemetr\u00eda indica un cambio de esta metodolog\u00eda centrada en el correo electr\u00f3nico hacia la selecci\u00f3n directa de bases de datos.<\/p>\n<p>Observamos que Phantom Taurus utilizaba un script llamado <span style=\"font-family: 'courier new', courier, monospace;\">mssq.bat<\/span> para conectarse y recopilar datos de una base de datos objetivo.<\/p>\n<p>El script <span style=\"font-family: 'courier new', courier, monospace;\">mssq.bat<\/span> funciona de la siguiente manera:<\/p>\n<ul>\n<li>Se conecta a una base de datos de SQL Server con un nombre de servidor dado, un identificador de usuario llamado sa (administrador del sistema) y una contrase\u00f1a que el atacante obtuvo previamente.<\/li>\n<li>Lee la consulta de SQL brindada en los argumentos de la l\u00ednea de comandos por los operadores del grupo. Esto permite la b\u00fasqueda din\u00e1mica de tablas y palabras clave espec\u00edficas.<\/li>\n<li>Ejecuta la consulta proporcionada y devuelve los resultados que coinciden con la b\u00fasqueda del usuario.<\/li>\n<li>Exporta los resultados a un archivo CSV.<\/li>\n<li>Cierra la conexi\u00f3n a la base de datos.<\/li>\n<\/ul>\n<p>El actor de amenazas aprovech\u00f3 el Instrumental de administraci\u00f3n de Windows (WMI) para ejecutar el script <span style=\"font-family: 'courier new', courier, monospace;\">mssq.bat<\/span> en el SQL Server remoto. En la Figura\u00a03, se muestra que el comando contiene tanto el script incrustado como las instrucciones de ejecuci\u00f3n.<\/p>\n<figure id=\"attachment_159644\" aria-describedby=\"caption-attachment-159644\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159644 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-278031-159621-3.png\" alt=\"Captura de pantalla de un diagrama en Cortex XDR. Debajo de los mensajes de error, hay tres \u00edconos de interfaz circulares que representan conexiones de red. Parte del texto est\u00e1 resaltado para mostrar la ejecuci\u00f3n del archivo BAT.\" width=\"1000\" height=\"328\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-278031-159621-3.png 1370w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-278031-159621-3-786x258.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-278031-159621-3-768x252.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159644\" class=\"wp-caption-text\">Figura 3. Ejecuci\u00f3n de <span style=\"font-family: 'courier new', courier, monospace;\">mssq.bat<\/span> como se muestra en Cortex XDR.<\/figcaption><\/figure>\n<p>El actor de amenazas us\u00f3 este m\u00e9todo para buscar documentos de inter\u00e9s e informaci\u00f3n relacionada con pa\u00edses concretos, como Afganist\u00e1n y Pakist\u00e1n.<\/p>\n<h2><a id=\"post-159621-_heading=h.60oyc33qho2m\"><\/a>La nueva suite de malware NET-STAR<\/h2>\n<p>Adem\u00e1s del cambio de Phantom Taurus a la recopilaci\u00f3n de datos de bases de datos, observamos que el grupo usa un nuevo conjunto de malware no documentado en sus operaciones recientes. Esta nueva herramienta es un conjunto de malware .NET dise\u00f1ado para atacar servidores web de Internet Information Services (IIS). El conjunto se denomin\u00f3 NET-STAR, bas\u00e1ndonos en el uso de la cadena en las rutas de la base de datos de programas (PDB) del malware:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\Administrator\\Desktop\\tmp\\<strong>NETstar<\/strong>shard\\ServerCore\\obj\\Release\\ServerCore.pdb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\admin\\Desktop\\starshard\\<strong>NETstar<\/strong>shard\\ExecuteAssembly\\obj\\Debug\\ExecuteAssembly.pdb<\/span><\/li>\n<\/ul>\n<p>La cadena STAR tambi\u00e9n aparece como delimitador en los datos codificados en Base64. El conjunto de malware NET-STAR demuestra las avanzadas t\u00e9cnicas de evasi\u00f3n de Phantom Taurus y su profundo conocimiento de la arquitectura .NET, lo que representa una importante amenaza para los servidores orientados a Internet. El conjunto consta de tres puertas traseras web distintas, cada una con una funci\u00f3n espec\u00edfica en la cadena de ataque, al tiempo que mantiene su persistencia en el entorno IIS del objetivo:<\/p>\n<ul>\n<li><strong>IIServerCore:<\/strong> una puerta trasera modular sin archivos que admite la ejecuci\u00f3n en memoria de argumentos de l\u00ednea de comandos, comandos arbitrarios y cargas \u00fatiles.<\/li>\n<li><strong>AssemblyExecuter V1:<\/strong> carga y ejecuta cargas \u00fatiles .NET adicionales en la memoria.<\/li>\n<li><strong>AssemblyExecuter V2:<\/strong> una versi\u00f3n mejorada de AssemblyExecuter\u00a0V1 que tambi\u00e9n est\u00e1 equipada con capacidades para eludir la <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/antimalware-scan-interface-portal\" target=\"_blank\" rel=\"noopener\">interfaz de escaneo antimalware<\/a> (AMSI) y el <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/devtest\/event-tracing-for-windows--etw-\" target=\"_blank\" rel=\"noopener\">seguimiento de eventos para Windows<\/a> (ETW).<\/li>\n<\/ul>\n<h3><a id=\"post-159621-_heading=h.c21gcpki87yy\"><\/a>IIServerCore: una puerta trasera IIS modular sin archivos.<\/h3>\n<p>IIServerCore es el principal componente de la puerta trasera basado en la web del conjunto de malware NET-STAR. Tras ser cargada por el cargador de web shell, la puerta trasera opera completamente en la memoria dentro del proceso de trabajo <span style=\"font-family: 'courier new', courier, monospace;\">w3wp.exe<\/span> de IIS.<\/p>\n<p>La puerta trasera de IIServerCore tiene un flujo de ejecuci\u00f3n modular y sin archivos \u00fanico que le permite:<\/p>\n<ul>\n<li>Recibir cargas \u00fatiles y argumentos adicionales<\/li>\n<li>Ejecutarlos en la memoria<\/li>\n<li>Enviar los resultados en un canal de comunicaci\u00f3n cifrado de comando y control (C2)<\/li>\n<\/ul>\n<p>En la Figura\u00a04, se muestra el flujo de ejecuci\u00f3n.<\/p>\n<figure id=\"attachment_159732\" aria-describedby=\"caption-attachment-159732\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159732 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601_Phantom-Taurus-Graphics-1-786x297.png\" alt=\"Ilustraci\u00f3n de un proceso basado en la web. 1. La shell web recibe una solicitud HTTP. 2. La shell web carga la clase ServerRun en la memoria. 3. ServerRun establece una sesi\u00f3n cifrada. 4. ServerRun carga el payload de tercera etapa seg\u00fan los comandos recibidos. 5. ServerRun ejecuta las operaciones y devuelve los resultados cifrados. 6. Todos los artefactos permanecen \u00fanicamente en la memoria.\" width=\"1000\" height=\"378\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601_Phantom-Taurus-Graphics-1-786x297.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601_Phantom-Taurus-Graphics-1-768x290.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/es-LA_2601_Phantom-Taurus-Graphics-1.png 860w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159732\" class=\"wp-caption-text\">Figura 4. Flujo de ejecuci\u00f3n de IIServerCore.<\/figcaption><\/figure>\n<h4><a id=\"post-159621-_heading=h.hoth6chvra2x\"><\/a>IIServerCore tras los bastidores: de cargador de web shell a malware sin archivos<\/h4>\n<p>El componente inicial de IIServerCore es un web shell ASPX llamado <span style=\"font-family: 'courier new', courier, monospace;\">OutlookEN.aspx<\/span>. Este web shell contiene un binario incrustado comprimido en Base64, la puerta trasera IIServerCore. Cuando el web shell se ejecuta, carga la puerta trasera en la memoria del proceso <span style=\"font-family: 'courier new', courier, monospace;\">w3wp.exe<\/span> e invoca el m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span>, que es la funci\u00f3n principal de IIServerCore. En la Figura\u00a05, se muestra el web shell.<\/p>\n<figure id=\"attachment_159666\" aria-describedby=\"caption-attachment-159666\" style=\"width: 1073px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159666 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-282930-159621-5.png\" alt=\"Captura de pantalla de un c\u00f3digo en un IDE con ciertas l\u00edneas resaltadas en rojo, enfoc\u00e1ndose espec\u00edficamente en los m\u00e9todos de reflexi\u00f3n del sistema y la carga de ensamblados. El texto se muestra sobre un fondo oscuro y tiene aplicado resaltado de sintaxis.\" width=\"1073\" height=\"413\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-282930-159621-5.png 1073w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-282930-159621-5-786x303.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-282930-159621-5-768x296.png 768w\" sizes=\"(max-width: 1073px) 100vw, 1073px\" \/><figcaption id=\"caption-attachment-159666\" class=\"wp-caption-text\">Figura 5. Contenido de la shell web de <span style=\"font-family: 'courier new', courier, monospace;\">OutlookEN.aspx<\/span>.<\/figcaption><\/figure>\n<p>A fin de eludir los esfuerzos de detecci\u00f3n, el actor de amenazas <a href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/006\/\" target=\"_blank\" rel=\"noopener\">modific\u00f3 las marcas de tiempo<\/a> del archivo ASPX para que coincidieran con la marca de tiempo de otro archivo ASPX antiguo encontrado en el sistema operativo. El actor de amenazas no solo modific\u00f3 las marcas de tiempo del web shell, sino tambi\u00e9n de las puertas traseras del conjunto de malware NET-STAR. El actor cambi\u00f3 la hora de compilaci\u00f3n a una fecha futura aleatoria para ocultar la fecha real de compilaci\u00f3n del malware.<\/p>\n<p>IIServerCore tambi\u00e9n admite un comando llamado <span style=\"font-family: 'courier new', courier, monospace;\">changeLastModified<\/span>. Esto sugiere que el malware tiene capacidades activas para modificar las marcas de tiempo, dise\u00f1adas para confundir a los analistas de seguridad y las herramientas forenses digitales.<\/p>\n<h4><a id=\"post-159621-_heading=h.qp9los4cw0ze\"><\/a>Desglose de IIServerCore m\u00e9todo por m\u00e9todo<\/h4>\n<p>La puerta trasera de IIServerCore consiste en una clase llamada <span style=\"font-family: 'courier new', courier, monospace;\">ServerRun<\/span> y 11\u00a0m\u00e9todos. Esto incluye un m\u00e9todo principal llamado Run, y varios otros que proporcionan capacidades adicionales. Los m\u00e9todos y sus descripciones figuran en el <a href=\"#post-159621-_heading=h.af9aveuoi66i\" target=\"_blank\" rel=\"noopener\">Ap\u00e9ndice\u00a0B<\/a>.<\/p>\n<p>El m\u00e9todo principal, <span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span>, recibe la comunicaci\u00f3n entrante y maneja todas las operaciones de malware. Este m\u00e9todo procesa dos tipos de solicitudes:<\/p>\n<ul>\n<li>Solicitudes iniciales para establecer una sesi\u00f3n con el servidor\u00a0C2.<\/li>\n<li>Solicitudes de ejecuci\u00f3n de comandos posteriores para cargar y ejecutar ensamblados .NET din\u00e1micamente.<\/li>\n<\/ul>\n<p>En la Figura\u00a06, se muestra el m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span>.<\/p>\n<figure id=\"attachment_159677\" aria-describedby=\"caption-attachment-159677\" style=\"width: 791px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159677 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-285297-159621-6.png\" alt=\"Imagen de una pantalla de computadora que muestra c\u00f3digo de software, presentando funciones para extraer datos de la sesi\u00f3n y analizar par\u00e1metros delimitados por STAR, junto con una lista de comandos integrados en el editor. Flechas y texto con anotaciones resaltan secciones espec\u00edficas del c\u00f3digo.\" width=\"791\" height=\"1099\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-285297-159621-6.png 791w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-285297-159621-6-317x440.png 317w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-285297-159621-6-504x700.png 504w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-285297-159621-6-768x1067.png 768w\" sizes=\"(max-width: 791px) 100vw, 791px\" \/><figcaption id=\"caption-attachment-159677\" class=\"wp-caption-text\">Figura 6. Captura de pantalla del m\u00e9todo principal Run de IIServerCore.<\/figcaption><\/figure>\n<p>El m\u00e9todo <span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span> gestiona el estado de la sesi\u00f3n utilizando cookies. Este comportamiento permite al m\u00e9todo rastrear y mantener informaci\u00f3n sobre la sesi\u00f3n de un usuario a trav\u00e9s de m\u00faltiples solicitudes web. Descifra los comandos y las cargas \u00fatiles entrantes, carga c\u00f3digo .NET a partir de ensamblados codificados en Base64 y admite el cifrado de datos.<\/p>\n<p>La puerta trasera admite varios comandos incorporados que proporcionan una amplia gama de funcionalidades, como las siguientes:<\/p>\n<ul>\n<li>Operaciones del sistema de archivos<\/li>\n<li>Acceso a bases de datos, incluida la ejecuci\u00f3n de comandos SQL<\/li>\n<li>Ejecuci\u00f3n arbitraria de c\u00f3digo<\/li>\n<li>Gesti\u00f3n de web shell para implementar y gestionar m\u00faltiples shells web<\/li>\n<li>Evasi\u00f3n de antivirus: funcionalidad de omisi\u00f3n de AMSI<\/li>\n<li>Comunicaci\u00f3n\u00a0C2 cifrada, en la que todas las comunicaciones est\u00e1n cifradas con AES<\/li>\n<li>Ejecuci\u00f3n solo en memoria: las cargas \u00fatiles se cargan directamente en la memoria<\/li>\n<\/ul>\n<p>La lista completa de comandos figura en el <a href=\"#post-159621-_heading=h.p5m785v48od0\" target=\"_blank\" rel=\"noopener\">Ap\u00e9ndice\u00a0C<\/a>.<\/p>\n<h3><a id=\"post-159621-_heading=h.z0f2k1sot0kx\"><\/a>Dos nuevas variantes de cargadores de malware .NET<\/h3>\n<p>El segundo componente de la suite NET-STAR es otro malware .NET IIS al que denominamos AssemblyExecuter. Durante la investigaci\u00f3n, observamos dos versiones de AssemblyExecuter:<\/p>\n<ul>\n<li>Una versi\u00f3n anterior (v1) que creemos que los actores de amenazas usaron inicialmente en torno a 2024.<\/li>\n<li>Una versi\u00f3n m\u00e1s reciente (v2) que creemos que utilizaron en 2025.<\/li>\n<\/ul>\n<h4><a id=\"post-159621-_heading=h.8krowtnrigxt\"><\/a>AssemblyExecuter V1<\/h4>\n<p>La primera versi\u00f3n de AssemblyExecuter es un ensamblado .NET dise\u00f1ado con el \u00fanico prop\u00f3sito espec\u00edfico de ejecutar otros ensamblados .NET directamente en la memoria sin escribirlos en el disco.<\/p>\n<p>Este componente permite a los actores de amenazas cargar y ejecutar din\u00e1micamente funcionalidad adicional despu\u00e9s de una vulneraci\u00f3n. La puerta trasera acepta bytecode de ensamblado como par\u00e1metros de entrada, lo carga usando el m\u00e9todo .NET <span style=\"font-family: 'courier new', courier, monospace;\">Assembly.Load()<\/span> e invoca el punto de entrada del ensamblado junto con los argumentos de l\u00ednea de comandos especificados.<\/p>\n<p>La estructura de c\u00f3digo aparentemente benigna del componente da lugar a <a href=\"https:\/\/www.virustotal.com\/gui\/file\/3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4\" target=\"_blank\" rel=\"noopener\">un marcado m\u00ednimo por los motores antivirus<\/a> en VirusTotal cuando se escribi\u00f3 este art\u00edculo. Esto demuestra una t\u00e9cnica que los actores de amenazas pueden utilizar para crear herramientas que eviten el c\u00f3digo manifiesto, que los sistemas de detecci\u00f3n podr\u00edan interpretar como malicioso.<\/p>\n<h4><a id=\"post-159621-_heading=h.78idooev7vzi\"><\/a>AssemblyExecuter V2<\/h4>\n<p>La segunda versi\u00f3n de AssemblyExecuter mantiene el mismo prop\u00f3sito central que su predecesor: ejecutar ensamblados .NET arbitrarios directamente en la memoria. Esta versi\u00f3n tiene capacidades de evasi\u00f3n mejoradas para operar en entornos m\u00e1s vigilados.<\/p>\n<p>Aunque la l\u00f3gica fundamental de carga y ejecuci\u00f3n de ensamblados permanece inalterada, AssemblyExecuter v2 incluye m\u00e9todos espec\u00edficos para eludir dos mecanismos cr\u00edticos de seguridad de Windows, AMSI y ETW. El malware determina din\u00e1micamente qu\u00e9 t\u00e9cnicas de elusi\u00f3n aplicar en funci\u00f3n de los par\u00e1metros de entrada, lo que permite a los atacantes desactivar selectivamente los controles de seguridad, en funci\u00f3n de la configuraci\u00f3n del entorno de destino.<\/p>\n<p>En la Figura\u00a07, se muestran los par\u00e1metros de entrada que usaron los atacantes para lograr la evasi\u00f3n.<\/p>\n<figure id=\"attachment_159688\" aria-describedby=\"caption-attachment-159688\" style=\"width: 768px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159688 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-288023-159621-7.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo que involucra la manipulaci\u00f3n de cadenas de texto y el manejo de errores. Una porci\u00f3n est\u00e1 resaltada dentro de un recuadro amarillo.\" width=\"768\" height=\"850\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-288023-159621-7.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-288023-159621-7-398x440.png 398w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-288023-159621-7-632x700.png 632w\" sizes=\"(max-width: 768px) 100vw, 768px\" \/><figcaption id=\"caption-attachment-159688\" class=\"wp-caption-text\">Figura 7. C\u00f3digo de evasi\u00f3n de seguridad dentro de AssemblyExecuter V2.<\/figcaption><\/figure>\n<h2><a id=\"post-159621-_heading=h.bi6kj3tfdrow\"><\/a>Conclusi\u00f3n<\/h2>\n<p>En este art\u00edculo, se detalla la maduraci\u00f3n del cl\u00faster de actividad CL-STA-0043 hasta convertirse en un actor de amenazas formalmente designado, Phantom Taurus. Tambi\u00e9n brindamos un an\u00e1lisis t\u00e9cnico detallado de NET-STAR, un conjunto de malware desconocido hasta ahora que representa una evoluci\u00f3n significativa en las capacidades operativas de este actor.<\/p>\n<p>Las numerosas pruebas que reunimos brindan informaci\u00f3n crucial sobre la persistencia, adaptabilidad, proceso de evoluci\u00f3n e intenci\u00f3n estrat\u00e9gica de los adversarios, que los an\u00e1lisis a corto plazo no siempre pueden captar.<\/p>\n<p>La designaci\u00f3n formal de Phantom Taurus demuestra el valor del rastreo sostenido de los actores de amenazas. La investigaci\u00f3n de varios a\u00f1os es un ejemplo de c\u00f3mo la vigilancia a largo plazo permite comprender en profundidad la evoluci\u00f3n de los actores de amenazas y sus capacidades operativas.<\/p>\n<h3><a id=\"post-159621-_heading=h.axfbfcdwm4mg\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li>La <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">prevenci\u00f3n de amenazas avanzada<\/a> cuenta con una detecci\u00f3n integrada basada en aprendizaje autom\u00e1tico que puede detectar exploits en tiempo real.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\">Cortex XDR<\/a> y\u00a0<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a>\n<ul>\n<li>El agente XDR est\u00e1 dise\u00f1ado para proteger contra el cargador inicial de malware NET-STAR, impidiendo la ejecuci\u00f3n de la cadena de ataque descrita en este art\u00edculo.<\/li>\n<li>En la Figura\u00a08, se muestra que la ejecuci\u00f3n del componente cargador fue detectada e impedida por el m\u00f3dulo de protecci\u00f3n web shell.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<figure id=\"attachment_159699\" aria-describedby=\"caption-attachment-159699\" style=\"width: 970px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159699 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-290463-159621-8.png\" alt=\"Imagen que muestra un registro de alertas de seguridad en Cortex XDR con las siguientes columnas: Severidad, que muestra &quot;Alta&quot; con un indicador rojo; Origen de la Alerta, etiquetada como &quot;Agente XDR&quot;; Acci\u00f3n, que indica &quot;Prevenida (Bloqueada)&quot;; Nombre de la Alerta; Descripci\u00f3n, detallada como &quot;Ejecuci\u00f3n de shell web&quot;; e Iniciada por, marcada como un archivo EXE.\" width=\"970\" height=\"122\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-290463-159621-8.png 970w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-290463-159621-8-786x99.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-290463-159621-8-768x97.png 768w\" sizes=\"(max-width: 970px) 100vw, 970px\" \/><figcaption id=\"caption-attachment-159699\" class=\"wp-caption-text\">Figura 8. Alerta de prevenci\u00f3n por la ejecuci\u00f3n del componente cargador de la shell web.<\/figcaption><\/figure>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Medio Oriente: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-159621-_heading=h.t7rhz3cq8e1k\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<p><span style=\"font-weight: 400;\">SHA256 hash para IIServerCore<\/span><\/p>\n<ul>\n<li><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">(ServerCore.dll)<\/span><\/li>\n<li><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc<\/span><\/li>\n<\/ul>\n<p>SHA256 hash para AssemblyExecuter V1<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">(ExecuteAssembly.dll)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4<\/span><\/li>\n<\/ul>\n<p>SHA256 hash para AssemblyExecuter V2<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">(ExecuteAssembly.dll)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-159621-_heading=h.ohzuz1j7q9nq\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.brighttalk.com\/webcast\/10903\/653848?utm_source=PaloAltoNetworks&amp;utm_medium=brighttalk&amp;utm_campaign=653848\" target=\"_blank\" rel=\"noopener\">Desenmascarado: Por dentro de una nueva APT con nexo chino<\/a> \u2013 webinar en ingl\u00e9s de Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/operation-diplomatic-specter\/\" target=\"_blank\" rel=\"noopener\">Operation Diplomatic Specter: An Active Chinese Cyberespionage Campaign Leverages Rare Tool Set to Target Governmental Entities in the Middle East, Africa and Asia<\/a> (Operaci\u00f3n espectro diplom\u00e1tico: una campa\u00f1a china activa de ciberespionaje aprovecha un raro conjunto de herramientas para atacar a entidades gubernamentales de Medio Oriente, \u00c1frica y Asia), Unit\u00a042<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa\/\" target=\"_blank\" rel=\"noopener\">Through the Cortex XDR Lens: Uncovering a New Activity Group Targeting Governments in the Middle East and Africa<\/a> (A trav\u00e9s de la lente de Cortex\u00a0XDR: descubrimiento de un nuevo grupo de actividad dirigido a los gobiernos de Medio Oriente y \u00c1frica), Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/new-toolset-targets-middle-east-africa-usa\/\" target=\"_blank\" rel=\"noopener\">New Tool Set Found Used Against Organizations in the Middle East, Africa and the US<\/a> (Se descubri\u00f3 el uso de un nuevo conjunto de herramientas contra organizaciones de Medio Oriente, \u00c1frica y Estados\u00a0Unidos), Unit\u00a042<\/li>\n<\/ul>\n<h2><a id=\"post-159621-_heading=h.birxd6qne85k\"><\/a>Ap\u00e9ndice\u00a0A: principales TTP de Phantom Taurus<\/h2>\n<table style=\"width: 101.585%;\">\n<tbody>\n<tr>\n<td style=\"width: 12.4532%; text-align: center;\"><strong>Herramientas<\/strong><\/td>\n<td style=\"width: 12.6404%; text-align: center;\"><strong>Malware<\/strong><\/td>\n<td style=\"width: 91.4794%; text-align: center;\"><strong>T\u00e9cnicas<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.4532%;\">\n<ul>\n<li>Htran<\/li>\n<li>Yasso<\/li>\n<li>JuicyPotatoNG<\/li>\n<li>Nbtscan<\/li>\n<li>Scansql<\/li>\n<li>Ladon<\/li>\n<li>Samba SMBClient<\/li>\n<li>Impacket<\/li>\n<li>SharpEfsPotato<\/li>\n<li>iislpe<\/li>\n<li>Mimikatz<\/li>\n<\/ul>\n<\/td>\n<td style=\"width: 12.6404%;\">\n<ul>\n<li>TunnelSpecter<\/li>\n<li>SweetSpecter<\/li>\n<li>Agente Racoon<\/li>\n<li>IIServerCore<\/li>\n<li>AssemblyExecuter<\/li>\n<li>Ntospy<\/li>\n<li>PlugX<\/li>\n<li>G0st RAT<\/li>\n<li>China Chopper<\/li>\n<\/ul>\n<\/td>\n<td style=\"width: 91.4794%;\">\n<ul>\n<li>Ejecuci\u00f3n de un implante de script Visual Basic en la memoria que funciona como web shell<\/li>\n<li>Robo de credenciales mediante el uso indebido de los proveedores de red<\/li>\n<li>Robo de correos electr\u00f3nicos mediante el uso indebido de la entidad shell de administraci\u00f3n de Exchange<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla 1. Principales TTP de Phantom Taurus.<\/em><\/span><\/p>\n<h2><a id=\"post-159621-_heading=h.af9aveuoi66i\"><\/a>Ap\u00e9ndice B: m\u00e9todos de IIServerCore<\/h2>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 25.7649%;\"><strong>Nombre del m\u00e9todo<\/strong><\/td>\n<td style=\"text-align: center; width: 73.591%;\"><strong>Descripci\u00f3n<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">EncryptBase64<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe una cadena de texto sin formato y realiza una codificaci\u00f3n b\u00e1sica en Base64 (no un cifrado, a pesar del nombre). Esta funci\u00f3n se utiliza en todo el malware para ofuscar la transmisi\u00f3n de datos.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">DecryptBase64<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe una cadena codificada en Base64 y la decodifica a texto plano.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Encrypt<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe datos en bytes sin procesar y una cadena de claves de encriptaci\u00f3n. A continuaci\u00f3n, esta funci\u00f3n realiza el cifrado AES utilizando el modo ECB con relleno PKCS7. Crea un cifrado AES con la clave proporcionada, cifra los datos de entrada y devuelve los bytes cifrados. El malware usa este m\u00e9todo para asegurar la comunicaci\u00f3n con el C2.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Decrypt<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe datos cifrados en bytes y la clave correspondiente. Luego la funci\u00f3n descifra los datos utilizando el descifrado AES con el mismo modo ECB y la misma configuraci\u00f3n de relleno PKCS7. Invierte el proceso de cifrado para recuperar los datos originales, lo que permite al malware procesar los comandos cifrados del atacante.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Compress<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe datos de matriz de bytes y los comprime utilizando Gzip. Crea una versi\u00f3n comprimida de los datos de entrada para reducir el tama\u00f1o de los datos que transmite entre el malware y el servidor\u00a0C2, haciendo que el tr\u00e1fico de red sea menos llamativo.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Decompress<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe datos en bytes comprimidos con Gzip y los descomprime a su forma original.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">GetContext<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe una cadena que contiene los datos completos de la solicitud. A continuaci\u00f3n, esta funci\u00f3n extrae la parte de la carga \u00fatil y devuelve solo los datos de la carga \u00fatil codificados en Base64 que contienen la carga maliciosa real.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">ConvertToSpecialString<\/span><\/td>\n<td style=\"width: 73.591%;\">Toma una lista de diccionarios, cada uno de los cuales contiene pares clave-valor de cadena, y los convierte en una cadena con formato personalizado. Esta cadena es utilizada por la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">SetContext<\/span> para preparar los resultados de la ejecuci\u00f3n del comando.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">SetContext<\/span><\/td>\n<td style=\"width: 73.591%;\">Toma la salida estructurada de <span style=\"font-family: 'courier new', courier, monospace;\">ConvertToSpecialString<\/span> y aplica una codificaci\u00f3n multicapa (compresi\u00f3n, cifrado y Base64) que se utiliza posteriormente para la transmisi\u00f3n segura de vuelta al servidor\u00a0C2.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">GetMd5Hash<\/span><\/td>\n<td style=\"width: 73.591%;\">Recibe una cadena y calcula su hash MD5.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25.7649%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span><\/td>\n<td style=\"width: 73.591%;\">La funci\u00f3n de ejecuci\u00f3n principal que recibe el contexto HTTP y maneja todas las operaciones de malware.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a id=\"post-159621-_heading=h.1b8buue0yuwu\"><\/a><span style=\"font-size: 10pt;\">Tabla\u00a02. Lista de m\u00e9todos de IIServerCore.<\/span><\/p>\n<h2><a id=\"post-159621-_heading=h.p5m785v48od0\"><\/a>Ap\u00e9ndice\u00a0C: comandos integrados<\/h2>\n<p>Los siguientes comandos est\u00e1n incrustados en la puerta trasera de IIServerCore:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fileExist<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">listDir<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">createDir<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">renameDir<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fileRead<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">deleteFile<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Dictionary<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">createFile<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">changeLastModified<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">code_self<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">code_pid<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">run_code<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">addshell<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bypassPrecompiledApp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">listShell<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">removeShell<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">executeSQLQuery<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ExecuteNonQuery<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Phantom Taurus es un grupo de amenaza de origen chino no documentado previamente. Descubra c\u00f3mo el particular conjunto de herramientas de este grupo condujo al descubrimiento de su existencia.<\/p>\n","protected":false},"author":366,"featured_media":158615,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8829,8793],"tags":[9647,9645,9646,9644],"product_categories":[8923,8925,8921,8932,8934,8935,8890],"coauthors":[3808],"class_list":["post-159621","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-es-la","category-malware-es-la","tag-china-es-la","tag-cl-sta-0043-es-la","tag-phantom-taurus-es-la","tag-tgr-sta-0043-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR<\/title>\n<meta name=\"description\" content=\"Phantom Taurus es un grupo de amenaza de origen chino no documentado previamente. Descubra c\u00f3mo el particular conjunto de herramientas de este grupo condujo al descubrimiento de su existencia.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR\" \/>\n<meta property=\"og:description\" content=\"Phantom Taurus es un grupo de amenaza de origen chino no documentado previamente. Descubra c\u00f3mo el particular conjunto de herramientas de este grupo condujo al descubrimiento de su existencia.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-30T10:00:07+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-30T15:35:04+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Lior Rochberger\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR","description":"Phantom Taurus es un grupo de amenaza de origen chino no documentado previamente. Descubra c\u00f3mo el particular conjunto de herramientas de este grupo condujo al descubrimiento de su existencia.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/","og_locale":"es_LA","og_type":"article","og_title":"Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR","og_description":"Phantom Taurus es un grupo de amenaza de origen chino no documentado previamente. Descubra c\u00f3mo el particular conjunto de herramientas de este grupo condujo al descubrimiento de su existencia.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/","og_site_name":"Unit 42","article_published_time":"2025-09-30T10:00:07+00:00","article_modified_time":"2025-09-30T15:35:04+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","type":"image\/png"}],"author":"Lior Rochberger","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR","datePublished":"2025-09-30T10:00:07+00:00","dateModified":"2025-09-30T15:35:04+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/"},"wordCount":3842,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","keywords":["China","CL-STA-0043","Phantom Taurus","TGR-STA-0043"],"articleSection":["Grupos de actores de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/","name":"Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","datePublished":"2025-09-30T10:00:07+00:00","dateModified":"2025-09-30T15:35:04+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Phantom Taurus es un grupo de amenaza de origen chino no documentado previamente. Descubra c\u00f3mo el particular conjunto de herramientas de este grupo condujo al descubrimiento de su existencia.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of APT Phantom Taurus. The silhouette of a bull facing the reviewer and the Taurus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantom-taurus\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Phantom Taurus: un nuevo grupo APT vinculado a China y el descubrimiento del conjunto de malware NET-STAR"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159621","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=159621"}],"version-history":[{"count":9,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159621\/revisions"}],"predecessor-version":[{"id":159826,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/159621\/revisions\/159826"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/158615"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=159621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=159621"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=159621"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=159621"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=159621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}