Phantom Taurus: Kelompok Peretas Baru yang Disponsori Tiongkok Terungkap

Konawe.info — Tim intelijen ancaman Unit 42 Palo Alto Networks menemukan kelompok peretas baru asal Tiongkok. Kelompok ini belum pernah terdokumentasi sebelumnya. Mereka diberi nama kode Phantom Taurus. Target operasi mereka tersebar di Timur Tengah, Afrika, dan Asia.

Misi Utama Phantom Taurus: Spionase Siber Tingkat Tinggi

Menurut laporan, tujuan kelompok ini adalah melakukan spionase siber. Fokus mereka adalah mencuri informasi sensitif dari kementerian luar negeri, kedutaan besar, dan operasi militer.

Menariknya, aktivitas Phantom Taurus sering kali bertepatan dengan peristiwa geopolitik penting. Dengan demikian, kampanye mereka terlihat selaras dengan agenda strategis negara sponsor.

Proses investigasi dimulai pada tahun 2022. Saat itu aktivitas kelompok ini masih tercatat sebagai kluster CLA-STA-0043. Pada Mei 2024, mereka sempat dijuluki Operation Diplomatic Specter (TGR-STA-0043). Akhirnya, di tahun 2025, mereka resmi diklasifikasikan sebagai aktor ancaman baru.

Taktik dan Teknik: Infrastruktur Bersama, Komponen Khusus

Phantom Taurus berbagi infrastruktur dengan APT Tiongkok lain, seperti APT27 (Iron Taurus) dan Mustang Panda (Stately Taurus). Namun, mereka tetap memiliki ciri khas.

Pertama, kelompok ini menggunakan toolkit umum seperti China Chopper dan Impacket. Kedua, mereka menambahkan malware kustom untuk operasi terselubung. Selain itu, mereka juga menerapkan kompartementalisasi operasional agar lebih sulit dilacak.

Evolusi Teknik Pencurian Data

Sejak awal 2025, strategi Phantom Taurus berubah. Mereka tidak lagi fokus mencuri email dari server yang disusupi. Sebaliknya, mereka mulai menargetkan database secara langsung.

Para peneliti menemukan skrip bernama mssq.bat. Skrip ini dipakai untuk mengeksekusi query dinamis pada server SQL. Hasilnya, kelompok ini mampu mengekstrak dokumen dan data penting, termasuk yang terkait Afghanistan dan Pakistan.

Malware Baru: NET-STAR

Penemuan terbesar dari investigasi ini adalah malware kustom bernama NET-STAR. Suite ini berbasis .NET dan dirancang khusus untuk menyusupi server IIS (Internet Information Services).

Komponen NET-STAR

• IIServerCore: backdoor modular tanpa file yang berjalan sepenuhnya di memori.

• Web Shell ASPX: pintu masuk untuk payload tambahan, manajemen shell, dan akses database.

• Timestomping: teknik manipulasi timestamp agar file berbahaya tampak sah.

• AssemblyExecuter: loader malware dengan dua versi. Versi terbaru dilengkapi teknik penghindaran deteksi terhadap AMSI dan ETW Windows.

Dengan fitur ini, Phantom Taurus mampu menyusupi sistem tanpa mudah terdeteksi.

Dampak dan Respons Global

Kemunculan Phantom Taurus membuktikan bahwa kelompok peretas negara bersifat adaptif dan gigih. Oleh karena itu, organisasi global perlu meningkatkan pertahanan siber mereka.

Unit 42 juga telah membagikan hasil penelitian kepada Cyber Threat Alliance (CTA). Tujuannya adalah membantu organisasi di seluruh dunia memperkuat sistem keamanan dan mendeteksi ancaman serupa lebih cepat.

Kesimpulan

Phantom Taurus kini resmi menjadi bagian dari daftar panjang APT Tiongkok. Dengan kemampuan canggih seperti NET-STAR, mereka menimbulkan ancaman serius bagi pemerintah, sektor diplomatik, dan telekomunikasi.

Oleh karena itu, penting bagi organisasi untuk memperbarui patch keamanan, meningkatkan monitoring, dan menerapkan strategi pertahanan proaktif.