وقتی هکرهای چینی با بدافزار نامرئی به دولت‌ها حمله می‌کنند

دنیای امنیت سایبری این روزها شاهد ظهور بازیگران جدیدی است که هر کدام با تاکتیک‌های منحصربه‌فرد خود، دولت‌ها و سازمان‌های حساس را نشانه می‌گیرند. اما آنچه در دو سال و نیم گذشته در سکوت رخ داده، داستان گروهی است که توانسته بدون سر و صدا، به قلب سازمان‌های دولتی نفوذ کند و اطلاعات محرمانه‌شان را سرقت کند.

Phantom Taurus نام این گروه هکری است که محققان امنیتی تازه هویت واقعی‌اش را کشف کرده‌اند. گروهی که از سال ۲۰۲۲ تاکنون با استفاده از بدافزارهای سفارشی و تکنیک‌های پیشرفته، سازمان‌های دولتی و مخابراتی در آفریقا، خاورمیانه و آسیا را زیر نظر داشته است. این حمله نه یک عملیات ساده هکری، بلکه یک کمپین جاسوسی پیچیده است که اهداف استراتژیک چین را دنبال می‌کند.

حالا سوال اینجاست: چه کسانی هدف این گروه بودند؟ چطور توانستند این همه مدت مخفی بمانند؟ و مهم‌تر از همه، چه درس‌هایی می‌توانیم از این حمله بگیریم؟

 

از ناشناخته تا تهدید شناخته‌شده: سفر Phantom Taurus

ماجرا از کجا شروع شد؟ در واقع این گروه تازه شناسایی نشده. محققان Palo Alto Networks Unit 42 برای اولین بار در ژوئن ۲۰۲۳ به فعالیت‌های مشکوکی برخوردند که آن را با نام رمز CL-STA-0043 ثبت کردند. آن زمان هنوز مشخص نبود که با یک گروه مستقل روبرو هستیم یا بخشی از یک عملیات بزرگ‌تر.

اما داستان ادامه پیدا کرد. در می ۲۰۲۴، شواهد بیشتری جمع شد که نشان می‌داد این فعالیت‌ها بخشی از یک کمپین جاسوسی سازمان‌یافته هستند که از اواخر ۲۰۲۲ شروع شده بود. محققان این عملیات را با نام Operation Diplomatic Specter (عملیات شبح دیپلماتیک) نام‌گذاری کردند – نامی که کاملاً گویای ماهیت مخفیانه این حملات بود.

لیور روچبرگر، محقق ارشد Unit 42، درباره این گروه می‌گوید: تمرکز اصلی Phantom Taurus روی وزارتخانه‌های امور خارجه، سفارتخانه‌ها، رویدادهای ژئوپلیتیک و عملیات نظامی است. هدف اصلی این گروه جاسوسی است و حملاتشان نشان‌دهنده مخفی‌کاری، پایداری و توانایی انطباق سریع با شرایط است.

حالا بعد از ماه‌ها رصد مداوم و جمع‌آوری اطلاعات کافی،  Unit 42 رسماً این تهدید را به عنوان یک بازیگر مستقل تایید کرده است. گروهی که هدف اصلی‌اش جمع‌آوری اطلاعات استخباراتی بلندمدت و دسترسی به داده‌های محرمانه از اهدافی است که از نظر اقتصادی و ژئوپلیتیکی برای چین اهمیت استراتژیک دارند.

 

چه کسانی در تیررس بودند؟ نگاهی به قربانیان

اگر فکر می‌کنید این گروه تصادفی هدف انتخاب می‌کند، کاملاً اشتباه می‌کنید. Phantom Taurus با دقت تمام اهداف خود را انتخاب می‌کند. محققان می‌گویند که این گروه علاقه خاصی به موارد زیر دارد:

ارتباطات دیپلماتیک – سفارتخانه‌ها و وزارتخانه‌های امور خارجه در صدر لیست قرار دارند. دلیلش هم واضح است: اینجا همان جایی است که تصمیمات سیاسی و استراتژیک گرفته می‌شود.

اطلاعات دفاعی و نظامی – هر چیزی که به عملیات نظامی، برنامه‌های دفاعی یا خریدهای تسلیحاتی مربوط باشد، برای این گروه جذاب است.

وزارتخانه‌های کلیدی دولتی – از وزارت کشور گرفته تا وزارت انرژی، هر سازمانی که در تصمیم‌گیری‌های استراتژیک نقش دارد.

شرکت‌های مخابراتی – چرا مخابرات؟ چون کنترل زیرساخت‌های ارتباطی یعنی دسترسی به جریان اطلاعات یک کشور.

نکته جالب اینجاست: زمان‌بندی حملات این گروه تصادفی نیست. Unit 42 گزارش داده که فعالیت‌های Phantom Taurus اغلب با رویدادهای مهم جهانی و امور امنیتی منطقه‌ای همزمان می‌شود. این یعنی وقتی یک کشور درگیر یک بحران سیاسی یا نظامی است، این گروه آماده است تا از آشفتگی استفاده کند.

این رویکرد فقط مختص Phantom Taurus نیست. گروه‌های هکری چینی دیگر هم استراتژی مشابهی دارند. مثلاً گروهی به نام RedNovember که اخیراً توسط Recorded Future شناسایی شده، سازمان‌هایی را در تایوان و پاناما نشانه گرفته که مستقیماً با رویدادهای ژئوپلیتیک و نظامی مورد علاقه چین مرتبط بودند.

 

چطور وارد می‌شوند؟ نقطه ورود مهاجمان

یکی از سوالاتی که همیشه در این حملات مطرح می‌شود این است: مهاجمان از کجا وارد می‌شوند؟ در مورد Phantom Taurus، جواب دقیقی نداریم، اما شواهد کافی وجود دارد که نشان می‌دهد چه مسیرهایی را ترجیح می‌دهند.

هدف اصلی آن‌ها سرورهای IIS و Microsoft Exchange است که در شبکه‌های داخلی سازمان‌ها نصب شده‌اند. این سرورها معمولاً روی اینترنت قرار دارند و اگر به‌روز نباشند، آسیب‌پذیری‌های خطرناکی دارند.

محققان می‌گویند که این گروه از آسیب‌پذیری‌های معروفی مثل ProxyLogon و ProxyShell استفاده کرده است. این آسیب‌پذیری‌ها چند سال پیش در Microsoft Exchange کشف شدند و اگرچه پچ‌هایشان منتشر شده، هنوز خیلی از سازمان‌ها آن‌ها را نصب نکرده‌اند.

آساف داهان، مدیر تحقیقات تهدید در Unit 42، در مصاحبه با The Hacker News گفت: “تا الان دیده‌ایم که آن‌ها آسیب‌پذیری‌های شناخته‌شده IIS و Microsoft Exchange را exploit می‌کنند، اما این به معنای ثابت بودن روش‌هایشان نیست. این گروه بسیار منابع دارد و انگیزه بالایی دارد – به هر طریقی که شده راه ورود پیدا می‌کنند.”

این جمله خیلی چیزها را می‌گوید. یعنی حتی اگر امروز تمام سرورها را patch کنیم، فردا این گروه ممکن است روش دیگری پیدا کند. این ماهیت واقعی جنگ سایبری است – یک مسابقه بی‌پایان بین مهاجمان و مدافعان.

 

NET-STAR: ابزار مخرب سفارشی‌سازی شده

حالا به قسمت واقعاً جالب ماجرا می‌رسیم. آنچه Phantom Taurus را از خیلی از گروه‌های دیگر متمایز می‌کند، استفاده از یک مجموعه بدافزار کاملاً سفارشی به نام NET-STAR است.

این بدافزار قبلاً در هیچ حمله‌ای دیده نشده بود. محققان می‌گویند توسعه‌دهندگان این گروه زمان و انرژی زیادی روی ساخت این ابزار گذاشته‌اند. NET-STAR با زبان برنامه‌نویسی .NET نوشته شده و خاص حمله به سرورهای IIS طراحی شده است.

اما چرا IIS؟ چون IIS یکی از محبوب‌ترین وب سرورهایی است که سازمان‌های دولتی و بزرگ استفاده می‌کنند. کنترل یک سرور IIS یعنی دسترسی به قلب زیرساخت وب یک سازمان.

NET-STAR از سه backdoor وب‌محور تشکیل شده که هرکدام وظیفه خاصی دارند:

۱. IIServerCore – مغز عملیات

این اولین و مهم‌ترین جزء است. IIServerCore یک backdoor ماژولار است که به شکل fileless کار می‌کند – یعنی در حافظه سیستم load می‌شود و ردی روی دیسک نمی‌گذارد. این خودش یک تکنیک پیشرفته است که شناسایی را بسیار سخت می‌کند.

این backdoor از طریق یک ASPX web shell بارگذاری می‌شود و قابلیت‌های جالبی دارد:

• اجرای دستورات command-line در حافظه
• اجرای payloadهای دلخواه
• ارسال نتایج از طریق یک کانال ارتباطی رمزشده

نکته جالب اینکه IIServerCore یک دستور به اسم changeLastModified هم دارد. این یعنی می‌تواند تاریخ و زمان تغییر فایل‌ها را دستکاری کند تا محققان امنیتی و ابزارهای فورنزیک دیجیتال را گمراه کند. تصور کنید وقتی داری یک حادثه امنیتی را بررسی می‌کنی و تمام timestampها دستکاری شده باشند – مثل این است که در یک صحنه جرم همه شواهد جابه‌جا شده باشند.

۲. AssemblyExecuter V1 – بارگذار Payload

این ماژول وظیفه ساده‌ای دارد: بارگذاری و اجرای payloadهای اضافی .NET در حافظه. چرا این مهم است؟ چون به مهاجمان اجازه می‌دهد بدون اینکه فایل جدیدی روی دیسک بنویسند، ابزارهای مختلف را اجرا کنند.

۳. AssemblyExecuter V2 – نسخه ارتقا یافته

این نسخه پیشرفته‌تر AssemblyExecuter است که قابلیت‌های امنیتی اضافه‌ای دارد:

• دور زدن AMSI (Antimalware Scan Interface) – یعنی آنتی‌ویروس‌های ویندوز نمی‌توانند کد مخرب را در حافظه تشخیص دهند
• غیرفعال کردن ETW (Event Tracing for Windows) – یعنی ویندوز نمی‌تواند فعالیت‌های مشکوک را log کند

Unit 42 در گزارش خود نوشته: “مجموعه بدافزار NET-STAR نشان‌دهنده تکنیک‌های فرار پیشرفته Phantom Taurus و درک عمیق از معماری .NET است و تهدید قابل توجهی برای سرورهای روی اینترنت محسوب می‌شود.”

ارتباطات مشکوک: آیا تنها هستند؟

یکی از کشفیات جالب محققان این است که Phantom Taurus به تنهایی کار نمی‌کند – یا حداقل از همان زیرساخت‌هایی استفاده می‌کند که گروه‌های چینی دیگر هم استفاده می‌کنند.

محققان می‌گویند که زیرساخت عملیاتی این گروه قبلاً توسط گروه‌های معروفی مثل AT27 (معروف به Iron Taurus)، APT41 (شناخته شده به نام‌های Starchy Taurus یا Winnti) و Mustang Panda (یا Stately Taurus) استفاده شده است.

اما نکته جالب اینجاست: در حالی که Phantom Taurus از زیرساخت مشترک استفاده می‌کند، اجزای زیرساختی که خودش ایجاد کرده در عملیات گروه‌های دیگر دیده نشده است. این به معنای وجود یک نوع “تقسیم‌بندی عملیاتی” درون این اکوسیستم مشترک است.

به زبان ساده‌تر: فکر کنید چند شرکت مختلف که از یک دفتر مرکزی اجاره کرده‌اند، اما هرکدام اتاق و ابزارهای مخصوص به خودش را دارد. همکاری می‌کنند ولی مستقل هم عمل می‌کنند.

این مدل همکاری نشان می‌دهد که عملیات سایبری چین به خوبی سازماندهی شده است. احتمالاً یک سازمان مرکزی وجود دارد که منابع و زیرساخت را بین گروه‌های مختلف تقسیم می‌کند، اما هر گروه ماموریت و اهداف مخصوص به خودش را دارد.

 

تحول تاکتیک: از ایمیل تا دیتابیس

یکی دیگر از جنبه‌های جالب این حملات، تغییر استراتژی مهاجمان است. در حملات قبلی، بیشتر گروه‌های جاسوسی روی سرقت ایمیل‌ها تمرکز داشتند. اما Phantom Taurus یک قدم جلوتر رفته است.

این گروه به جای اینکه فقط ایمیل‌ها را بخواند، مستقیماً به دیتابیس‌های سازمان حمله می‌کند. برای این کار از یک batch script استفاده می‌کنند که کارهای زیر را انجام می‌دهد:

• اتصال به یک SQL Server database
• جستجو و export کردن داده‌ها به فرمت CSV
• قطع کردن اتصال و پاک کردن ردپا

این script با استفاده از WMI (Windows Management Instrumentation) اجرا می‌شود – یعنی از یک ابزار مدیریتی رسمی ویندوز برای کارهای مخرب استفاده می‌شود. این تکنیک به اصطلاح “Living off the Land” نامیده می‌شود – یعنی استفاده از ابزارهای موجود سیستم به جای آوردن ابزار مخرب جدید.

محققان می‌گویند که Phantom Taurus با این روش به طور روش‌مند به دنبال اسناد مورد علاقه و اطلاعات مربوط به کشورهای خاصی مثل افغانستان و پاکستان می‌گردد.

چرا این دو کشور؟ احتمالاً به خاطر اهمیت استراتژیک‌شان برای چین. افغانستان همسایه چین است و در محور ابتکار کمربند و جاده قرار دارد. پاکستان هم متحد اصلی چین در منطقه است. هر اطلاعاتی درباره این کشورها می‌تواند برای سیاست خارجی و امنیت ملی چین ارزشمند باشد.

 

چه باید کرد؟ راهکارهای عملی برای سازمان‌ها

حالا که از تهدید می‌دانیم، سوال مهم این است: چطور می‌توانیم خودمان را محافظت کنیم؟

برای سازمان‌های دولتی و حیاتی:

۱. به‌روزرسانی فوری سرورها اگر از IIS یا Microsoft Exchange استفاده می‌کنید، فوراً آخرین پچ‌های امنیتی را نصب کنید. این مهم‌ترین و اولین قدم است. آسیب‌پذیری‌هایی مثل ProxyLogon و ProxyShell سال‌هاست که پچ دارند – دیگر هیچ بهانه‌ای برای نصب نکردنشان وجود ندارد.

۲. محدود کردن دسترسی به سرورها سرورهای IIS و Exchange شما نباید مستقیماً در معرض اینترنت باشند. از firewall، VPN و سیستم‌های احراز هویت چندعاملی استفاده کنید. اگر کسی از بیرون می‌خواهد به این سرورها دسترسی داشته باشد، باید مراحل امنیتی سختی را طی کند.

۳. مانیتورینگ مداوم یک سیستم SIEM (Security Information and Event Management) راه‌اندازی کنید که بتواند فعالیت‌های مشکوک را شناسایی کند. به خصوص به دنبال این موارد باشید:

• اجرای دستورات PowerShell یا batch scripts غیرمعمول
• ایجاد web shells جدید روی سرورهای IIS
• اتصالات خروجی به IPهای مشکوک
• تغییرات غیرمنتظره در timestampهای فایل‌ها

۴. تقویت امنیت دیتابیس‌ها دیتابیس‌هایتان را جدا کنید و دسترسی به آن‌ها را محدود کنید. هیچ accountی نباید دسترسی مستقیم و کامل به دیتابیس داشته باشد مگر در موارد ضروری. همه query‌ها را log کنید تا در صورت حمله بتوانید ببینید چه داده‌هایی دزدیده شده است.

۵. شناسایی web shells از ابزارهای تخصصی برای شناسایی web shellها استفاده کنید. فایل‌های ASPX، ASP و PHP مشکوک روی سرورهای وب را پیدا کنید. به خصوص به فایل‌هایی که اخیراً ایجاد شده‌اند یا تغییر کرده‌اند دقت کنید.

برای تیم‌های امنیتی:

۱. Threat Hunting منظم فقط منتظر هشدار نباشید. فعالانه به دنبال نشانه‌های نفوذ بگردید. به دنبال این موارد باشید:

• فایل‌های .NET اجرایی در مسیرهای غیرمعمول
• اجرای Assembly‌های .NET در حافظه
• استفاده غیرمعمول از WMI
• تلاش برای disable کردن AMSI یا ETW

۲. تقویت فورنزیک یک سیستم فورنزیک قوی داشته باشید  که  timestampها و logها را دستکاری‌ناپذیر نگه دارد. از ابزارهایی استفاده کنید که می‌توانند دستکاری timestampها را تشخیص دهند.

۳. آموزش و آگاهی تیم‌هایتان را آموزش دهید. باید بدانند چه نشانه‌هایی را باید دنبال کنند و وقتی چیز مشکوکی دیدند چه کار کنند. حملات APT معمولاً هفته‌ها یا ماه‌ها طول می‌کشند – شانس دارید که قبل از خساراته جدی، آن‌ها را بگیرید.

 

آینده چه خواهد بود؟ پیش‌بینی‌ها و چالش‌ها

کشف Phantom Taurus یک هشدار جدی است. این گروه نشان داده که حملات APT چینی دارند هوشمندانه‌تر و پیچیده‌تر می‌شوند. ما احتمالاً در آینده شاهد این روندها خواهیم بود:

۱. افزایش بدافزارهای سفارشی گروه‌های بیشتری شروع به ساخت ابزارهای منحصربه‌فرد خودشان می‌کنند. چرا؟ چون ابزارهای عمومی راحت شناسایی می‌شوند. ساخت بدافزار سفارشی گران و زمان‌بر است، اما برای عملیات‌های بلندمدت ارزشش را دارد.

۲. حملات هدفمند به رویدادهای خاص همان‌طور که Phantom Taurus و RedNovember نشان دادند، مهاجمان دارند حملاتشان را با رویدادهای ژئوپلیتیک همزمان می‌کنند. این یعنی زمان‌هایی که یک کشور درگیر بحران یا مذاکرات مهم است، احتمال حمله سایبری هم بیشتر می‌شود.

۳. استفاده هوشمندانه‌تر از ابزارهای قانونی مهاجمان بیشتر از “Living off the Land” استفاده می‌کنند. یعنی به جای آوردن ابزار مخرب، از همان ابزارهای موجود سیستم استفاده می‌کنند. این شناسایی را خیلی سخت‌تر می‌کند چون فعالیت‌هایشان شبیه کارهای عادی سیستم است.

۴. پایداری بیشتر در شبکه گروه‌هایی مثل Phantom Taurus نشان داده‌اند که می‌توانند سال‌ها درون یک شبکه بمانند بدون اینکه شناسایی شوند. این یعنی ما باید فرض کنیم که ممکن است همین الان هم نفوذگرهایی درون شبکه‌مان باشند و به دنبالشان بگردیم.

 

نتیجه‌گیری

ظهور Phantom Taurus یادآور این نکته مهم است: جنگ سایبری هرگز تمام نمی‌شود. این گروه سال‌ها در سکوت عمل کرده و اطلاعات حساس دزدیده است. فقط به خاطر هوشیاری محققان امنیتی بود که توانستند آن را شناسایی کنند.

آنچه Phantom Taurus را خطرناک می‌کند، ترکیبی از چند عامل است:

• استفاده از بدافزار سفارشی که قبلاً دیده نشده
• تکنیک‌های فرار پیشرفته که شناسایی را دشوار می‌کند
• صبر و حوصله برای ماندن در شبکه و جمع‌آوری اطلاعات
• انتخاب دقیق اهداف بر اساس اهمیت استراتژیک

برای سازمان‌های دولتی، شرکت‌های مخابراتی و هر کسی که اطلاعات حساس دارد، این ماجرا یک هشدار جدی است. امنیت سایبری دیگر یک گزینه نیست – یک ضرورت است.

واکنش سریع و موثر تنها راه مقابله با این تهدیدات است. به‌روزرسانی سیستم‌ها، مانیتورینگ مداوم، آموزش تیم‌ها و داشتن یک برنامه پاسخ به حوادث، همه و همه بخشی از یک استراتژی امنیتی جامع هستند.

در نهایت، باید این واقعیت را بپذیریم: گروه‌هایی مثل Phantom Taurus هرگز دست از تلاش برنمی‌دارند. آن‌ها منابع زیادی دارند، انگیزه بالایی دارند و از پشتوانه دولت‌های قدرتمند برخوردارند. تنها راه ما این است که همیشه یک قدم جلوتر باشیم، همیشه هوشیار بمانیم و همیشه آماده باشیم.

Phantom Taurus شاید امروز شناسایی شد، اما گروه‌های دیگری در کمین‌اند. سوال این نیست که آیا حمله دیگری خواهد آمد – سوال این است که آیا ما آماده هستیم یا نه.

 

منابع و مراجع

این گزارش بر اساس تحقیقات زیر تهیه شده است:

• گزارش جامع Palo Alto Networks Unit 42 درباره Phantom Taurus
• تحلیل‌های Recorded Future از گروه RedNovember
• مصاحبه با آساف داهان، مدیر تحقیقات تهدید Unit 42
• داده‌های جمع‌آوری شده از عملیات Operation Diplomatic Specter

 

چک‌لیست امنیتی: آیا سازمان شما آماده است؟

پچ‌های امنیتی

• آیا تمام سرورهای IIS و Exchange شما به‌روز هستند؟
• آیا آسیب‌پذیری‌های ProxyLogon و ProxyShell پچ شده‌اند؟
• آیا یک فرآیند منظم برای بررسی و نصب پچ‌ها دارید؟

مانیتورینگ و تشخیص

• آیا یک سیستم SIEM فعال دارید؟
• آیا logهای WMI را مانیتور می‌کنید؟
• آیا می‌توانید web shellها را شناسایی کنید؟
• آیا فعالیت‌های غیرمعمول PowerShell را رصد می‌کنید؟

کنترل دسترسی

• آیا سرورهای حیاتی از اینترنت جدا شده‌اند؟
• آیا احراز هویت چندعاملی (2FA/MFA) فعال است؟
• آیا دسترسی به دیتابیس‌ها محدود و کنترل شده است؟
• آیا اصل least privilege را اعمال می‌کنید؟

آمادگی و پاسخ

• آیا یک تیم پاسخ به حوادث دارید؟
• آیا یک playbook برای مواجهه با APT دارید؟
• آیا به طور منظم threat hunting انجام می‌دهید؟
• آیا تیم شما آموزش‌های امنیتی دیده است؟

اگر جواب بیش از ۳ مورد از این سوالات “خیر” است، سازمان شما در معرض خطر جدی قرار دارد و باید فوراً اقدام کنید.

 

نکات کلیدی برای به خاطر سپردن

:Phantom Taurus یک گروه هکری وابسته به چین است که از سال ۲۰۲۲ فعال بوده است

هدف اصلی: سازمان‌های دولتی و مخابراتی در آفریقا، خاورمیانه و آسیا

روش نفوذ: سوءاستفاده از آسیب‌پذیری‌های IIS و Microsoft Exchange

ابزار اصلی: بدافزار سفارشی NET-STAR با قابلیت‌های فرار پیشرفته

تاکتیک جدید: حمله مستقیم به دیتابیس‌ها به جای سرقت ایمیل

زمان‌بندی حملات: همزمان با رویدادهای ژئوپلیتیک و نظامی مهم

پایداری: این گروه می‌تواند ماه‌ها یا حتی سال‌ها در شبکه بماند

 

منابع اصلی:

• گزارش جامع Palo Alto Networks Unit 42 درباره Phantom Taurus و مجموعه بدافزار NET-STAR Palo Alto Networks:
  https://unit42.paloaltonetworks.com/phantom-taurus/
• گزارش Recorded Future درباره گروه RedNovember و حملات به سازمان‌های دولتی، دفاعی و فناوری Recorded Future:
  https://www.recordedfuture.com/research/rednovember-targets-government-defense-and-technology-organizations
• تحلیل The Hacker News از حملات RedNovember با استفاده از Pantegana و Cobalt Strike The Hacker News:
  https://thehackernews.com/2025/09/chinese-hackers-rednovember-target.html

 

برای دریافت آخرین اخبار و تحلیل‌های امنیت سایبری، خبرنامه ما را دنبال کنید. در دنیای امروز، اطلاع داشتن یعنی آماده بودن.