{"id":159368,"date":"2025-09-30T03:00:43","date_gmt":"2025-09-30T10:00:43","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=159368"},"modified":"2025-09-30T10:29:04","modified_gmt":"2025-09-30T17:29:04","slug":"phantom-taurus","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/","title":{"rendered":"Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR"},"content":{"rendered":"<h1><a id=\"post-159368-_heading=h.rptajfvpqu49\"><\/a>Avant-propos<\/h1>\n<p>Phantom\u00a0Taurus est un acteur \u00e9tatique jusque-l\u00e0 non document\u00e9, dont les op\u00e9rations d\u2019espionnage s\u2019alignent sur les int\u00e9r\u00eats de la R\u00e9publique populaire de Chine (RPC). Au cours des derniers 36\u00a0mois, les chercheurs d\u2019Unit\u00a042 ont observ\u00e9 Phantom\u00a0Taurus cibler des organisations gouvernementales et de t\u00e9l\u00e9communications en Afrique, au Moyen-Orient et en Asie.<\/p>\n<p>Nos observations montrent que Phantom\u00a0Taurus concentre principalement ses efforts sur les minist\u00e8res des affaires \u00e9trang\u00e8res, les ambassades, les \u00e9v\u00e9nements g\u00e9opolitiques et les op\u00e9rations militaires. L\u2019objectif prioritaire du groupe est l\u2019espionnage. Ses attaques sont discr\u00e8tes, persistantes et d\u00e9montrent une capacit\u00e9 \u00e0 adapter rapidement ses tactiques, techniques et proc\u00e9dures (TTP).<\/p>\n<p>Ce qui distingue le groupe des autres acteurs du nexus\u00a0APT chinois est son ensemble sp\u00e9cifique de TTP, qui lui permet de mener des op\u00e9rations hautement furtives et de conserver un acc\u00e8s durable \u00e0 des cibles critiques. Cet article apporte un \u00e9clairage nouveau sur les plus r\u00e9cents TTP de Phantom\u00a0Taurus et d\u00e9voile un outil personnalis\u00e9 de son arsenal, jusque-l\u00e0\u00a0: NET-STAR.<\/p>\n<p>Nous avons <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa\/\" target=\"_blank\" rel=\"noopener\">publi\u00e9 notre premier article<\/a> sur ce cluster d\u2019activit\u00e9 (initialement suivi sous l\u2019identifiant CL-STA-0043) en juin\u00a02023. En mai\u00a02024, nous avons fait \u00e9voluer sa classification en tant que groupe temporaire, d\u00e9sign\u00e9 par la r\u00e9f\u00e9rence <a href=\"https:\/\/unit42.paloaltonetworks.com\/operation-diplomatic-specter\/\" target=\"_blank\" rel=\"noopener\">TGR-STA-0043<\/a> et surnomm\u00e9 \u00ab\u00a0Operation Diplomatic Specter\u00a0\u00bb. Les enqu\u00eates que nous menons actuellement sur ce groupe nous ont permis de mieux comprendre les op\u00e9rations de cet acteur de la menace et de d\u00e9terminer ses liens avec le r\u00e9seau chinois. Ce rare niveau d\u2019information refl\u00e8te la profondeur et la dur\u00e9e de notre investigation.<\/p>\n<p>Apr\u00e8s une p\u00e9riode soutenue d\u2019observation et de collecte de renseignement au cours de l\u2019ann\u00e9e \u00e9coul\u00e9e, nous avons r\u00e9uni suffisamment d\u2019\u00e9l\u00e9ments pour attribuer \u00e0 ce groupe temporaire le statut de nouvel acteur de la menace. Notre processus d\u2019attribution et de maturation de cluster repose sur le <a href=\"https:\/\/unit42.paloaltonetworks.com\/unit-42-attribution-framework\">cadre d\u2019attribution de l\u2019Unit\u00a042<\/a>. La figure\u00a01 illustre le processus de \u00ab\u00a0promotion\u00a0\u00bb du cluster d\u2019activit\u00e9 Phantom\u00a0Taurus au rang d\u2019acteur de la menace formellement identifi\u00e9.<\/p>\n<p>La figure\u00a01 illustre le processus de \u00ab\u00a0promotion\u00a0\u00bb du cluster d\u2019activit\u00e9 Phantom\u00a0Taurus au rang d\u2019acteur de la menace formellement identifi\u00e9.<\/p>\n<figure id=\"attachment_159768\" aria-describedby=\"caption-attachment-159768\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159768 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-786x322.png\" alt=\"Chronologie de 2022 \u00e0 2025 montrant l'\u00e9volution d'un acteur de la menace. Commence par le \u00ab Cluster d'activit\u00e9 CLA-STA-0043 \u00bb en 2022, \u00e9volue vers le \u00ab Nom de groupe temporaire TGR-STA-0043 \u00bb en 2024, pour devenir \u00ab Phantom Taurus, nouvel acteur de la menace officiellement nomm\u00e9 \u00bb en 2025. Inclut les logos de Palo Alto Networks et de l'Unit 42.\" width=\"1000\" height=\"409\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-786x322.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-1710x700.png 1710w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-768x314.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1-1536x629.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601-Phantom-Taurus-Figure-1-Phantom-Taurus-Maturation-1.png 1820w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159768\" class=\"wp-caption-text\">Figure 1. Processus de maturation de Phantom Taurus.<\/figcaption><\/figure>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0Threat Prevention<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 98.3981%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 187.082%;\"><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa\/\" target=\"_blank\" rel=\"noopener\"><strong>Acteur de la menace<\/strong><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/tgr-sta-0043-fr\/\" target=\"_blank\" rel=\"noopener\">TGR-STA-0043<\/a><\/strong>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cl-sta-0043-fr\/\" target=\"_blank\" rel=\"noopener\">CL-STA-0043<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-159368-_heading=h.ymy9s7z0md74\"><\/a>Phantom\u00a0Taurus\u00a0: l\u2019\u00e9volution d\u2019un acteur de la menace<\/h2>\n<p>Phantom Taurus est un groupe APT chinois qui m\u00e8ne des op\u00e9rations de collecte de renseignement de longue dur\u00e9e contre des cibles de grande valeur afin d\u2019obtenir des informations sensibles et non publiques.<\/p>\n<p>Le groupe cible principalement des entit\u00e9s gouvernementales et des prestataires de services publics au Moyen-Orient, en Afrique et en Asie. Les sch\u00e9mas de ciblage s\u2019alignent de mani\u00e8re constante sur les int\u00e9r\u00eats \u00e9conomiques et g\u00e9opolitiques de la R\u00e9publique populaire de Chine (RPC). Nous avons observ\u00e9 que le groupe s\u2019int\u00e9resse aux communications diplomatiques, aux renseignements li\u00e9s \u00e0 la d\u00e9fense ainsi qu\u2019aux op\u00e9rations de minist\u00e8res gouvernementaux critiques. Le calendrier et l\u2019ampleur de ses op\u00e9rations co\u00efncident fr\u00e9quemment avec des \u00e9v\u00e9nements mondiaux majeurs et des enjeux de s\u00e9curit\u00e9 r\u00e9gionale.<\/p>\n<p>Notre analyse technique r\u00e9v\u00e8le que le groupe emploie un ensemble unique d\u2019outils d\u00e9velopp\u00e9s sur mesure et met en \u0153uvre des techniques rarement observ\u00e9es dans le paysage des menaces. La liste des TTP figure en <a href=\"#post-159368-_heading=h.7ky6nyn1x4um\" target=\"_blank\" rel=\"noopener\">annexe\u00a0A<\/a>.<\/p>\n<p>Le mode op\u00e9ratoire distinctif de ce groupe, combin\u00e9 \u00e0 des pratiques op\u00e9rationnelles avanc\u00e9es, distingue Phantom Taurus des autres groupes APT chinois. La d\u00e9signation de ce groupe comme un APT chinois distinct repose sur plusieurs facteurs d\u2019attribution, comme l\u2019illustre le <a href=\"https:\/\/www.threatintel.academy\/wp-content\/uploads\/2020\/07\/diamond_summary.pdf\" target=\"_blank\" rel=\"noopener\">Mod\u00e8le en Diamant appliqu\u00e9 \u00e0 l\u2019attribution<\/a> pr\u00e9sent\u00e9 en figure\u00a02.<\/p>\n<figure id=\"attachment_159470\" aria-describedby=\"caption-attachment-159470\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159470 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_-2601-Phantom-Taurus-Figure-2-Diamond-Model-548x440.png\" alt=\"Mod\u00e8le du diamant pour Phantom Taurus. Les sections comprennent les Capacit\u00e9s, incluant divers malwares et outils comme le RAT Ghost et Yama ; les similarit\u00e9s d'Infrastructure avec d'autres groupes ; et la Victimologie, visant des entit\u00e9s au Moyen-Orient, en Afrique et en Asie.\" width=\"1000\" height=\"802\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_-2601-Phantom-Taurus-Figure-2-Diamond-Model-548x440.png 548w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_-2601-Phantom-Taurus-Figure-2-Diamond-Model-872x700.png 872w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_-2601-Phantom-Taurus-Figure-2-Diamond-Model-768x616.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_-2601-Phantom-Taurus-Figure-2-Diamond-Model-1536x1233.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_-2601-Phantom-Taurus-Figure-2-Diamond-Model.png 2005w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159470\" class=\"wp-caption-text\">Figure 2. Repr\u00e9sentation de Phantom Taurus selon le mod\u00e8le en diamant.<\/figcaption><\/figure>\n<h3><a id=\"post-159368-_heading=h.8vlo3rl6lx3e\"><\/a>Analyse de l\u2019attribution via le Mod\u00e8le en Diamant<\/h3>\n<p><a id=\"post-159368-_heading=h.79n32caukgz2\"><\/a>Nous avons \u00e9tabli l\u2019attribution de Phantom\u00a0Taurus au moyen d\u2019une analyse approfondie des \u00e9l\u00e9ments suivants du Mod\u00e8le en Diamant\u00a0:<\/p>\n<ul>\n<li><strong>Infrastructure\u00a0:<\/strong> Phantom Taurus s\u2019appuie sur une infrastructure op\u00e9rationnelle commune aux APT chinois, jusque-l\u00e0 exclusivement employ\u00e9e par des acteurs de la menace tels qu\u2019Iron\u00a0Iron Taurus (aka <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/apt27\/\" target=\"_blank\" rel=\"noopener\">APT27<\/a>), <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/starchy-taurus\/\" target=\"_blank\" rel=\"noopener\">Starchy Taurus<\/a> (aka <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/winnti-fr\/\" target=\"_blank\" rel=\"noopener\">Winnti<\/a>) and <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/stately-taurus-fr\/\" target=\"_blank\" rel=\"noopener\">Stately Taurus<\/a> (aka <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/mustang-panda\/\" target=\"_blank\" rel=\"noopener\">Mustang Panda<\/a>). Toutefois, les composants d\u2019infrastructure sp\u00e9cifiques employ\u00e9s par Phantom\u00a0Taurus n\u2019ont pas \u00e9t\u00e9 observ\u00e9s dans les op\u00e9rations d\u2019autres acteurs de la menace, ce qui indique une compartimentalisation op\u00e9rationnelle au sein de cet \u00e9cosyst\u00e8me partag\u00e9.<\/li>\n<li><strong>Victimologie\u00a0:<\/strong> le groupe cible syst\u00e9matiquement des organisations de grande valeur ayant acc\u00e8s \u00e0 des informations sensibles et non publiques. Ces derni\u00e8res ann\u00e9es, nous avons observ\u00e9 Phantom\u00a0Taurus s\u2019attaquer \u00e0 des organisations gouvernementales et du secteur des t\u00e9l\u00e9communications, en particulier celles qui fournissent des services et des infrastructures. Ce groupe concentre ses op\u00e9rations au Moyen-Orient, en Afrique et en Asie, ce qui refl\u00e8te des priorit\u00e9s de collecte de renseignement align\u00e9es sur les int\u00e9r\u00eats strat\u00e9giques chinois.<\/li>\n<li><strong>Capacit\u00e9s\u00a0:<\/strong> Phantom\u00a0Taurus met en \u0153uvre un ensemble de TTP qui le distinguent des autres acteurs de la menace. Plusieurs de ces techniques n\u2019ont jamais \u00e9t\u00e9 observ\u00e9es dans les op\u00e9rations d\u2019autres groupes, tandis que d\u2019autres sont suffisamment rares pour n\u2019avoir \u00e9t\u00e9 relev\u00e9es que chez une poign\u00e9e d\u2019acteurs. En plus d\u2019outils communs tels que China\u00a0Chopper, la suite\u00a0Potato et Impacket, le groupe utilise des outils personnalis\u00e9s, notamment la famille de malwares\u00a0Specter, Ntospy et la suite malware\u00a0NET-STAR d\u00e9crite <a href=\"#post-159368-_heading=h.9i6a0y26u9tv\" target=\"_blank\" rel=\"noopener\">ult\u00e9rieurement dans cet article<\/a>.<\/li>\n<\/ul>\n<p>En appliquant le Mod\u00e8le en Diamant appliqu\u00e9 \u00e0 l\u2019attribution aux trois n\u0153uds repr\u00e9sent\u00e9s dans la figure\u00a02, nous avons cartographi\u00e9 les similitudes et chevauchements de Phantom\u00a0Taurus avec d\u2019autres acteurs de la menace. Le suivi prolong\u00e9 de cette activit\u00e9 a permis d\u2019\u00e9tablir clairement que les op\u00e9rations observ\u00e9es \u00e9taient le fait d\u2019un nouvel acteur.<\/p>\n<h3><a id=\"post-159368-_heading=h.n7tthqymox7s\"><\/a>De la messagerie aux bases de donn\u00e9es\u00a0: les nouvelles m\u00e9thodes de collecte de donn\u00e9es de Phantom\u00a0Taurus<\/h3>\n<p>Notre surveillance continue des activit\u00e9s de Phantom\u00a0Taurus a mis en \u00e9vidence une \u00e9volution tactique que nous avons observ\u00e9e pour la premi\u00e8re fois d\u00e9but\u00a02025. Depuis 2023, Phantom\u00a0Taurus s\u2019\u00e9tait concentr\u00e9 sur l\u2019interception d\u2019e-mails sensibles et cibl\u00e9s, collect\u00e9s directement sur les serveurs de messagerie\u00a0\u2013 ce que nous avions d\u00e9crit dans <a href=\"https:\/\/unit42.paloaltonetworks.com\/operation-diplomatic-specter\/\" target=\"_blank\" rel=\"noopener\">un pr\u00e9c\u00e9dent article<\/a>. Toutefois, notre t\u00e9l\u00e9m\u00e9trie indique un basculement de cette m\u00e9thode centr\u00e9e sur la messagerie vers un ciblage direct des bases de donn\u00e9es.<\/p>\n<p>Nous avons observ\u00e9 Phantom\u00a0Taurus utiliser un script nomm\u00e9\u00a0mssq.bat pour se connecter \u00e0 une base de donn\u00e9es cibl\u00e9e et en extraire des informations.<\/p>\n<p>Le script\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">mssq.bat<\/span> fonctionne de la mani\u00e8re suivante\u00a0:<\/p>\n<ul>\n<li>Il se connecte \u00e0 une base de donn\u00e9es SQL\u00a0Server \u00e0 l\u2019aide d\u2019un nom de serveur, d\u2019un identifiant utilisateur nomm\u00e9 \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">sa<\/span>\u00a0\u00bb (administrateur syst\u00e8me) et d\u2019un mot de passe pr\u00e9alablement obtenu par les attaquants.<\/li>\n<li>Il lit la requ\u00eate\u00a0SQL fournie en argument de la ligne de commande par les op\u00e9rateurs du groupe, ce qui permet de rechercher dynamiquement des tables et des mots-cl\u00e9s sp\u00e9cifiques.<\/li>\n<li>Il ex\u00e9cute la requ\u00eate fournie et renvoie les r\u00e9sultats correspondant \u00e0 la recherche de l\u2019utilisateur.<\/li>\n<li>Il exporte des r\u00e9sultats vers un fichier\u00a0CSV.<\/li>\n<li>Il ferme la connexion \u00e0 la base de donn\u00e9es.<\/li>\n<\/ul>\n<p>Le groupe a exploit\u00e9 Windows\u00a0Management Instrumentation\u00a0(WMI) pour ex\u00e9cuter le script\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">mssq.bat<\/span> sur le serveur\u00a0SQL distant. La figure\u00a03 montre que la commande contient \u00e0 la fois le script incorpor\u00e9 et les instructions d\u2019ex\u00e9cution.<\/p>\n<figure id=\"attachment_159391\" aria-describedby=\"caption-attachment-159391\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159391 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-775946-159368-3.png\" alt=\"Capture d'\u00e9cran d'un sch\u00e9ma dans Cortex XDR. Trois ic\u00f4nes d'interface circulaires repr\u00e9sentant des connexions r\u00e9seau se trouvent sous les messages d'erreur. Une partie du texte est surlign\u00e9e pour montrer l'ex\u00e9cution du fichier BAT\" width=\"1000\" height=\"328\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-775946-159368-3.png 1370w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-775946-159368-3-786x258.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-775946-159368-3-768x252.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159391\" class=\"wp-caption-text\">Figure 3. Ex\u00e9cution de <span style=\"font-family: 'courier new', courier, monospace;\">mssq.bat<\/span> telle qu'affich\u00e9e dans Cortex XDR.<\/figcaption><\/figure>\n<p>Les acteurs de la menace ont utilis\u00e9 cette m\u00e9thode pour rechercher des documents d\u2019int\u00e9r\u00eat et des informations li\u00e9es \u00e0 des pays sp\u00e9cifiques tels que l\u2019Afghanistan et le Pakistan.<\/p>\n<h2><a id=\"post-159368-_heading=h.9i6a0y26u9tv\"><\/a>La nouvelle suite malware\u00a0NET-STAR<\/h2>\n<p>Parall\u00e8lement au basculement de Phantom\u00a0Taurus vers la collecte dans les bases de donn\u00e9es, nous avons observ\u00e9 l\u2019emploi d\u2019une nouvelle suite de malwares jusque-l\u00e0 non document\u00e9e dans ses op\u00e9rations r\u00e9centes. Cet ensemble est une suite malware en .NET con\u00e7ue pour cibler les serveurs\u00a0web Internet Information Services (IIS). Nous avons nomm\u00e9 la suite\u00a0NET-STAR, d\u2019apr\u00e8s la pr\u00e9sence de cette cha\u00eene dans les chemins\u00a0PDB du malware\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\Administrator\\Desktop\\tmp\\<strong>NETstar<\/strong>shard\\ServerCore\\obj\\Release\\ServerCore.pdb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\admin\\Desktop\\starshard\\<strong>NETstar<\/strong>shard\\ExecuteAssembly\\obj\\Debug\\ExecuteAssembly.pdb<\/span><\/li>\n<\/ul>\n<p>La cha\u00eene\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">STAR<\/span> appara\u00eet \u00e9galement comme d\u00e9limiteur dans des donn\u00e9es encod\u00e9es en Base64. La suite\u00a0NET-STAR illustre les techniques d\u2019\u00e9vasion avanc\u00e9es de Phantom\u00a0Taurus et une ma\u00eetrise approfondie de l\u2019architecture\u00a0.NET, repr\u00e9sentant une menace significative pour les serveurs expos\u00e9s \u00e0 Internet. La suite se compose de trois backdoors web distinctes, chacune remplissant un r\u00f4le pr\u00e9cis dans la cha\u00eene d\u2019attaque tout en garantissant la persistance dans l\u2019environnement\u00a0IIS de la victime\u00a0:<\/p>\n<ul>\n<li><strong>IIServerCore\u00a0:<\/strong> backdoor modulaire sans fichier\u00a0(fileless) prenant en charge l\u2019ex\u00e9cution en m\u00e9moire d\u2019arguments en ligne de commande, de commandes arbitraires et de payloads\u00a0;<\/li>\n<li><strong>AssemblyExecuter\u00a0V1\u00a0:<\/strong> charge et ex\u00e9cute des payloads\u00a0.NET suppl\u00e9mentaires en m\u00e9moire\u00a0;<\/li>\n<li><strong>AssemblyExecuter V2\u00a0:<\/strong> version am\u00e9lior\u00e9e d\u2019AssemblyExecuter\u00a0V1, dot\u00e9e en outre de capacit\u00e9s de contournement de l\u2019<a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/antimalware-scan-interface-portal\" target=\"_blank\" rel=\"noopener\">Antimalware Scan Interface<\/a> (AMSI) et de l\u2019<a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/devtest\/event-tracing-for-windows--etw-\" target=\"_blank\" rel=\"noopener\">Event Tracing for Windows<\/a> (ETW).<\/li>\n<\/ul>\n<h3><a id=\"post-159368-_heading=h.glzfplabzrlb\"><\/a>IIServerCore\u00a0: une backdoor modulaire sans fichier pour IIS<\/h3>\n<p>IIServerCore est le composant principal de backdoor\u00a0web de la suite malware\u00a0NET-STAR. Apr\u00e8s avoir \u00e9t\u00e9 charg\u00e9e par le composant loader du web\u00a0shell, la backdoor fonctionne enti\u00e8rement en m\u00e9moire au sein du processus worker IIS\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">w3wp.exe<\/span>.<\/p>\n<p>La backdoor\u00a0IIServerCore pr\u00e9sente un flux d\u2019ex\u00e9cution modulaire et sans fichier qui lui permet de\u00a0:<\/p>\n<ul>\n<li>recevoir des payloads et des arguments suppl\u00e9mentaires\u00a0;<\/li>\n<li>les ex\u00e9cuter en m\u00e9moire\u00a0;<\/li>\n<li>transmettre les r\u00e9sultats via un canal de communication chiffr\u00e9 avec un serveur de commande et de contr\u00f4le (CnC).<\/li>\n<\/ul>\n<p>La figure\u00a04 illustre le flux d\u2019ex\u00e9cution.<\/p>\n<figure id=\"attachment_159481\" aria-describedby=\"caption-attachment-159481\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159481 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601_Phantom-Taurus-Graphics-786x298.png\" alt=\"Illustration d'un processus web. 1. Le web shell re\u00e7oit une requ\u00eate HTTP. 2. Le web shell charge la classe ServerRun en m\u00e9moire. 3. ServerRun \u00e9tablit une session chiffr\u00e9e. 4. ServerRun charge la charge utile de troisi\u00e8me stade en fonction des commandes. 5. ServerRun ex\u00e9cute les op\u00e9rations et renvoie les r\u00e9sultats chiffr\u00e9s. 6. Tous les artefacts restent uniquement en m\u00e9moire.\" width=\"1000\" height=\"380\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601_Phantom-Taurus-Graphics-786x298.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601_Phantom-Taurus-Graphics-768x292.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2601_Phantom-Taurus-Graphics.png 835w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159481\" class=\"wp-caption-text\">Figure 4. Flux d'ex\u00e9cution de IIServerCore.<\/figcaption><\/figure>\n<h4><a id=\"post-159368-_heading=h.v4mb0xcp1v0n\"><\/a>Sous le capot d\u2019IIServerCore\u00a0: du loader web\u00a0shell au malware sans fichier<\/h4>\n<p>Le composant initial d\u2019IIServerCore est un web\u00a0shell\u00a0ASPX nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">OutlookEN.aspx<\/span>. Ce web\u00a0shell int\u00e8gre un binaire compress\u00e9 en Base64 \u2013\u00a0la backdoor\u00a0IIServerCore. Lorsque le web\u00a0shell s\u2019ex\u00e9cute, il charge la backdoor dans la m\u00e9moire du processus\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">w3wp.exe<\/span> et invoque la m\u00e9thode\u00a0Run, qui correspond \u00e0 la fonction principale d\u2019IIServerCore. La figure 5 montre le contenu du web\u00a0shell.<\/p>\n<figure id=\"attachment_159413\" aria-describedby=\"caption-attachment-159413\" style=\"width: 1073px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159413 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-780906-159368-5.png\" alt=\"Capture d'\u00e9cran d'un code informatique dans un IDE avec certaines lignes surlign\u00e9es en rouge, se concentrant sur les m\u00e9thodes de r\u00e9flexion syst\u00e8me (system reflection) et le chargement d'assembly. Le texte est sur fond sombre et la coloration syntaxique est appliqu\u00e9e.\" width=\"1073\" height=\"413\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-780906-159368-5.png 1073w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-780906-159368-5-786x303.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-780906-159368-5-768x296.png 768w\" sizes=\"(max-width: 1073px) 100vw, 1073px\" \/><figcaption id=\"caption-attachment-159413\" class=\"wp-caption-text\">Figure 5. Contenu du web shell <span style=\"font-family: 'courier new', courier, monospace;\">OutlookEN.aspx<\/span>.<\/figcaption><\/figure>\n<p>Dans une tentative d\u2019\u00e9chapper aux dispositifs de d\u00e9tection, l\u2019acteur de la menace a falsifi\u00e9 les horodatages du fichier\u00a0ASPX (technique dite du \u00ab\u00a0<a href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/006\/\" target=\"_blank\" rel=\"noopener\">timestomping<\/a>\u00a0\u00bb) pour les faire correspondre \u00e0 ceux d\u2019un ancien fichier\u00a0ASPX pr\u00e9sent sur le syst\u00e8me. L\u2019acteur n\u2019a pas seulement \u00ab\u00a0timestomp\u00e9\u00a0\u00bb le web\u00a0shell, mais \u00e9galement les backdoors de la suite\u00a0NET-STAR. Il a modifi\u00e9 la date de compilation (compilation time) du malware en la positionnant de mani\u00e8re al\u00e9atoire dans le futur afin de la dissimuler.<\/p>\n<p>IIServerCore prend \u00e9galement en charge une commande nomm\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">changeLastModified<\/span>. Cela sugg\u00e8re que le malware dispose de capacit\u00e9s actives de timestomping, con\u00e7ues pour semer la confusion chez les analystes de s\u00e9curit\u00e9 et les outils d\u2019analyse forensique.<\/p>\n<h4><a id=\"post-159368-_heading=h.t0if7c3ytnkh\"><\/a>Analyse d\u2019IIServerCore\u00a0: m\u00e9thode par m\u00e9thode<\/h4>\n<p>La backdoor\u00a0IIServerCore est constitu\u00e9e d\u2019une classe appel\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">ServerRun<\/span> et de 11\u00a0m\u00e9thodes. Elle comprend notamment une m\u00e9thode principale nomm\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span> ainsi que plusieurs autres fournissant des fonctionnalit\u00e9s suppl\u00e9mentaires. Les m\u00e9thodes et leurs descriptions sont list\u00e9es en <a href=\"#post-159368-_heading=h.wdzipk3w4kbg\" target=\"_blank\" rel=\"noopener\">annexe\u00a0B<\/a>.<\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span>, la m\u00e9thode principale, re\u00e7oit les communications entrantes et orchestre l\u2019ensemble des op\u00e9rations malveillantes. Cette m\u00e9thode traite deux types de requ\u00eates\u00a0:<\/p>\n<ul>\n<li>les requ\u00eates de connexion pour instaurer une session avec le serveur CnC\u00a0;<\/li>\n<li>les requ\u00eates d\u2019ex\u00e9cution de commandes ult\u00e9rieures permettant de charger et d\u2019ex\u00e9cuter dynamiquement des assemblies\u00a0.NET.<\/li>\n<\/ul>\n<p>La figure\u00a06 illustre la m\u00e9thode\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span>.<\/p>\n<figure id=\"attachment_159424\" aria-describedby=\"caption-attachment-159424\" style=\"width: 791px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159424 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-783495-159368-6.png\" alt=\"Image d'un \u00e9cran d'ordinateur affichant du code logiciel, pr\u00e9sentant des fonctions pour l'extraction des donn\u00e9es de session et l'analyse de param\u00e8tres d\u00e9limit\u00e9s par STAR, ainsi qu'une liste de commandes int\u00e9gr\u00e9es dans l'\u00e9diteur. Des fl\u00e8ches et du texte annot\u00e9s mettent en \u00e9vidence des sections sp\u00e9cifiques du code.\" width=\"791\" height=\"1099\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-783495-159368-6.png 791w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-783495-159368-6-317x440.png 317w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-783495-159368-6-504x700.png 504w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-783495-159368-6-768x1067.png 768w\" sizes=\"(max-width: 791px) 100vw, 791px\" \/><figcaption id=\"caption-attachment-159424\" class=\"wp-caption-text\">Figure 6. Capture d'\u00e9cran de la m\u00e9thode principale Run de IIServerCore.<\/figcaption><\/figure>\n<p>La m\u00e9thode\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span> g\u00e8re l\u2019\u00e9tat de la session \u00e0 l\u2019aide de cookies. Ce comportement permet de suivre et de maintenir les informations de session d\u2019un utilisateur sur plusieurs requ\u00eates\u00a0web. Elle d\u00e9chiffre les commandes et payloads entrants, charge du code\u00a0.NET \u00e0 partir d\u2019assemblies encod\u00e9s en Base64 et prend en charge le chiffrement des donn\u00e9es.<\/p>\n<p>La backdoor prend en charge diverses commandes int\u00e9gr\u00e9es offrant un large \u00e9ventail de fonctionnalit\u00e9s, notamment\u00a0:<\/p>\n<ul>\n<li>des op\u00e9rations sur le syst\u00e8me de fichiers<\/li>\n<li>l\u2019acc\u00e8s aux bases de donn\u00e9es, avec notamment l\u2019ex\u00e9cution de commandes\u00a0SQL<\/li>\n<li>l\u2019ex\u00e9cution de code arbitraire<\/li>\n<li>la gestion de web\u00a0shells pour en d\u00e9ployer et en administrer plusieurs<\/li>\n<li>l\u2019\u00e9vasion antivirus\u00a0: fonctionnalit\u00e9 de contournement de l\u2019AMSI<\/li>\n<li>la communication\u00a0CnC chiffr\u00e9e, toutes les communications \u00e9tant prot\u00e9g\u00e9es par AES<\/li>\n<li>l\u2019ex\u00e9cution uniquement en m\u00e9moire\u00a0: les payloads sont charg\u00e9s directement en m\u00e9moire<\/li>\n<\/ul>\n<p>La liste compl\u00e8te des commandes figure en <a href=\"#post-159368-_heading=h.mruyfvgts027\" target=\"_blank\" rel=\"noopener\">annexe\u00a0C<\/a>.<\/p>\n<h3><a id=\"post-159368-_heading=h.an7cg6pv9r09\"><\/a>Deux nouvelles variantes de loaders malware\u00a0.NET<\/h3>\n<p>Le deuxi\u00e8me composant de la suite\u00a0NET-STAR est un autre malware\u00a0.NET pour IIS, baptis\u00e9 \u00ab\u00a0AssemblyExecuter\u00a0\u00bb. Au cours de notre enqu\u00eate, nous avons observ\u00e9 deux versions d\u2019AssemblyExecuter\u00a0:<\/p>\n<ul>\n<li>une version plus ancienne\u00a0(v1), utilis\u00e9e par les acteurs de la menace en 2024 selon nos estimations\u00a0;<\/li>\n<li>une version plus r\u00e9cente\u00a0(v2), selon nous d\u00e9ploy\u00e9e en 2025.<\/li>\n<\/ul>\n<h4><a id=\"post-159368-_heading=h.6qey0ggpyfoy\"><\/a>AssemblyExecuter V1<\/h4>\n<p>La premi\u00e8re version d\u2019AssemblyExecuter est un assembly\u00a0.NET con\u00e7u pour une finalit\u00e9 pr\u00e9cise\u00a0: ex\u00e9cuter directement en m\u00e9moire d\u2019autres assemblies\u00a0.NET sans les \u00e9crire sur le disque.<\/p>\n<p>Ce composant permet aux acteurs de la menace de charger et d\u2019ex\u00e9cuter dynamiquement des fonctionnalit\u00e9s suppl\u00e9mentaires apr\u00e8s une compromission. La backdoor accepte le bytecode d\u2019un assembly en tant que param\u00e8tre d\u2019entr\u00e9e, le charge via la m\u00e9thode\u00a0.NET <span style=\"font-family: 'courier new', courier, monospace;\">Assembly.Load()<\/span> puis invoque le point d\u2019entr\u00e9e de l\u2019assembly avec les arguments de ligne de commande sp\u00e9cifi\u00e9s.<\/p>\n<p>Le code apparemment b\u00e9nin de ce composant entra\u00eene <a href=\"https:\/\/www.virustotal.com\/gui\/file\/3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4\" target=\"_blank\" rel=\"noopener\">peu de d\u00e9tections par les moteurs antivirus<\/a> sur VirusTotal, au moment de la r\u00e9daction de cet article. Cela illustre une technique permettant aux acteurs de la menace de concevoir des outils d\u00e9pourvus d\u2019\u00e9l\u00e9ments de code manifestement malveillants, \u00e9vitant ainsi d\u2019\u00eatre signal\u00e9s par les syst\u00e8mes de d\u00e9tection.<\/p>\n<h4><a id=\"post-159368-_heading=h.61jteg36y932\"><\/a>AssemblyExecuter V2<\/h4>\n<p>La seconde version d\u2019AssemblyExecuter conserve la m\u00eame finalit\u00e9 que sa pr\u00e9d\u00e9cesseure, \u00e0 savoir l\u2019ex\u00e9cution des assemblies\u00a0.NET arbitraires directement en m\u00e9moire. Elle dispose de capacit\u00e9s d\u2019\u00e9vasion renforc\u00e9es pour fonctionner dans des environnements fortement surveill\u00e9s.<\/p>\n<p>Si la logique fondamentale de chargement et d\u2019ex\u00e9cution des assemblies demeure inchang\u00e9e, AssemblyExecuter\u00a0v2 int\u00e8gre des m\u00e9thodes sp\u00e9cifiques visant \u00e0 contourner deux m\u00e9canismes de s\u00e9curit\u00e9 Windows critiques\u00a0: AMSI et ETW. Le malware d\u00e9termine dynamiquement les techniques de contournement \u00e0 appliquer en fonction des param\u00e8tres d\u2019entr\u00e9e, permettant aux op\u00e9rateurs de d\u00e9sactiver s\u00e9lectivement des contr\u00f4les de s\u00e9curit\u00e9 selon la configuration de l\u2019environnement cibl\u00e9.<\/p>\n<p>La figure\u00a07 pr\u00e9sente les param\u00e8tres d\u2019entr\u00e9e utilis\u00e9s par les attaquants \u00e0 des fins de contournement.<\/p>\n<figure id=\"attachment_159435\" aria-describedby=\"caption-attachment-159435\" style=\"width: 768px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159435 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-786152-159368-7.png\" alt=\"Capture d'\u00e9cran d'un extrait de code impliquant la manipulation de cha\u00eenes de caract\u00e8res et la gestion des erreurs. Une partie est surlign\u00e9e dans un encadr\u00e9 jaune.\" width=\"768\" height=\"850\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-786152-159368-7.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-786152-159368-7-398x440.png 398w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-786152-159368-7-632x700.png 632w\" sizes=\"(max-width: 768px) 100vw, 768px\" \/><figcaption id=\"caption-attachment-159435\" class=\"wp-caption-text\">Figure 7. Code de contournement de s\u00e9curit\u00e9 dans AssemblyExecuter V2.<\/figcaption><\/figure>\n<h2><a id=\"post-159368-_heading=h.nnz4uqvcygtp\"><\/a>Conclusion<\/h2>\n<p>Cet article retrace l\u2019\u00e9volution du cluster d\u2019activit\u00e9\u00a0CL-STA-0043 jusqu\u2019\u00e0 sa d\u00e9signation officielle en tant qu\u2019acteur de menace\u00a0: Phantom Taurus. Nous y pr\u00e9sentons \u00e9galement une analyse technique d\u00e9taill\u00e9e de NET-STAR, une suite de malware in\u00e9dite qui marque une avanc\u00e9e significative dans les capacit\u00e9s op\u00e9rationnelles de cet acteur.<\/p>\n<p>Les \u00e9l\u00e9ments de preuve recueillis offrent un \u00e9clairage essentiel sur la persistance, l\u2019adaptabilit\u00e9, le processus d\u2019\u00e9volution et les intentions strat\u00e9giques de l\u2019adversaire \u2013\u00a0autant d\u2019aspects qu\u2019une analyse ponctuelle ne permet pas toujours de saisir.<\/p>\n<p>La d\u00e9signation formelle de Phantom\u00a0Taurus illustre la valeur du suivi continu des acteurs de menace. Notre enqu\u00eate sur plusieurs ann\u00e9es d\u00e9montre comment l\u2019observation \u00e0 long terme permet de comprendre en profondeur l\u2019\u00e9volution et les capacit\u00e9s op\u00e9rationnelles de ces acteurs.<\/p>\n<h3><a id=\"post-159368-_heading=h.swlh0ihr9gf\"><\/a>Protection et att\u00e9nuation des risques par Palo\u00a0Alto\u00a0Networks<\/h3>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits suivants :<\/p>\n<ul>\n<li>Les mod\u00e8les de Machine\u00a0Learning d\u2019<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat\u00a0Prevention<\/a> int\u00e8gre une d\u00e9tection bas\u00e9e sur le machine\u00a0learning pour identifier les exploits en temps r\u00e9el.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\">Cortex XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a>\u00a0:\n<ul>\n<li>l\u2019agent XDR est con\u00e7u pour stopper le loader initial du malware NET-STAR, ce qui pr\u00e9vient l\u2019ex\u00e9cution de la cha\u00eene d\u2019attaque d\u00e9crite dans cet article.<\/li>\n<li>La figure 8 illustre que l\u2019ex\u00e9cution du composant loader a \u00e9t\u00e9 d\u00e9tect\u00e9e et bloqu\u00e9e par le module de protection contre les web shells.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<figure id=\"attachment_159446\" aria-describedby=\"caption-attachment-159446\" style=\"width: 970px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159446 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788847-159368-8.png\" alt=\"Image affichant un journal d'alertes de s\u00e9curit\u00e9 dans Cortex XDR avec les colonnes suivantes : Gravit\u00e9, indiquant \u00ab \u00c9lev\u00e9e \u00bb avec un indicateur rouge ; Source de l'alerte, libell\u00e9e \u00ab Agent XDR \u00bb ; Action, indiquant \u00ab Emp\u00each\u00e9e (Bloqu\u00e9e) \u00bb ; Nom de l'alerte ; Description, d\u00e9crivant une \u00ab Ex\u00e9cution d'un web shell \u00bb ; et Initi\u00e9 par, identifi\u00e9 comme un fichier EXE.\" width=\"970\" height=\"122\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788847-159368-8.png 970w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788847-159368-8-786x99.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-788847-159368-8-768x97.png 768w\" sizes=\"(max-width: 970px) 100vw, 970px\" \/><figcaption id=\"caption-attachment-159446\" class=\"wp-caption-text\">Figure 8. Alerte de pr\u00e9vention pour l'ex\u00e9cution du composant de chargement du web shell.<\/figcaption><\/figure>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-159368-_heading=h.ps95v7btjjhr\"><\/a>Indicateurs de compromission<\/h2>\n<p>Hachage\u00a0SHA256 d\u2019IIServerCore<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">(ServerCore.dll)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc<\/span><\/li>\n<\/ul>\n<p>Hachage\u00a0SHA256 d\u2019AssemblyExecuter\u00a0V1<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">(ExecuteAssembly.dll)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4<\/span><\/li>\n<\/ul>\n<p>Hachage\u00a0SHA256 d\u2019AssemblyExecuter\u00a0V2<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">(ExecuteAssembly.dll)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-159368-_heading=h.vdoj093lh2u4\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.brighttalk.com\/webcast\/10903\/653848?utm_source=PaloAltoNetworks&amp;utm_medium=brighttalk&amp;utm_campaign=653848\" target=\"_blank\" rel=\"noopener\">D\u00e9masqu\u00e9e : Plong\u00e9e au c\u0153ur de la nouvelle APT Chinese Nexus<\/a> \u2013 Webinaire en anglais, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/operation-diplomatic-specter\/\" target=\"_blank\" rel=\"noopener\">Operation Diplomatic Specter\u00a0: une cellule de cyberespionnage chinoise recourt \u00e0 des outils encore inconnus pour cibler des entit\u00e9s gouvernementales au Moyen-Orient, en Afrique et en Asie<\/a>\u00a0\u2013 Unit\u00a042<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/through-the-cortex-xdr-lens-uncovering-a-new-activity-group-targeting-governments-in-the-middle-east-and-africa\/\" target=\"_blank\" rel=\"noopener\">Le prisme de Cortex\u00a0XDR\u00a0: d\u00e9couverte d\u2019un nouveau groupe d\u2019activit\u00e9 ciblant des gouvernements au Moyen-Orient et en Afrique<\/a>\u00a0\u2013 Palo\u00a0Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/new-toolset-targets-middle-east-africa-usa\/\" target=\"_blank\" rel=\"noopener\">D\u00e9couverte d\u2019un nouveau jeu d\u2019outils utilis\u00e9s \u00e0 l\u2019encontre d\u2019organisations en Afrique, au Moyen-Orient et aux \u00c9tats-Unis<\/a>\u00a0\u2013\u00a0Unit 42<\/li>\n<\/ul>\n<h2><a id=\"post-159368-_heading=h.7ky6nyn1x4um\"><\/a>Annexe\u00a0A\u00a0\u2013 Principales\u00a0TTP de Phantom\u00a0Taurus<\/h2>\n<table style=\"width: 100.127%;\">\n<tbody>\n<tr>\n<td style=\"width: 20.6174%; text-align: center;\"><strong>Outils<\/strong><\/td>\n<td style=\"width: 23.5178%; text-align: center;\"><strong>Malware<\/strong><\/td>\n<td style=\"width: 109.273%; text-align: center;\"><strong>Techniques<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.6174%;\">\n<ul>\n<li>Htran<\/li>\n<li>Yasso<\/li>\n<li>JuicyPotatoNG<\/li>\n<li>Nbtscan<\/li>\n<li>Scansql<\/li>\n<li>Ladon<\/li>\n<li>Samba SMBClient<\/li>\n<li>Impacket<\/li>\n<li>SharpEfsPotato<\/li>\n<li>iislpe<\/li>\n<li>Mimikatz<\/li>\n<\/ul>\n<\/td>\n<td style=\"width: 23.5178%;\">\n<ul>\n<li>TunnelSpecter<\/li>\n<li>SweetSpecter<\/li>\n<li>Agent Racoon<\/li>\n<li>IIServerCore<\/li>\n<li>AssemblyExecuter<\/li>\n<li>Ntospy<\/li>\n<li>PlugX<\/li>\n<li>Gh0st RAT<\/li>\n<li>China Chopper<\/li>\n<\/ul>\n<\/td>\n<td style=\"width: 109.273%;\">\n<ul>\n<li>Ex\u00e9cution d\u2019un implant Visual\u00a0Basic en m\u00e9moire servant de web\u00a0shell<\/li>\n<li>Vol de mat\u00e9riels d\u2019authentification via l\u2019abus des fournisseurs r\u00e9seau<\/li>\n<li>Vol d\u2019e-mails via l\u2019abus d\u2019Exchange\u00a0Management\u00a0Shell<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. Principales TTP de Phantom\u00a0Taurus.<\/span><\/p>\n<h2><a id=\"post-159368-_heading=h.wdzipk3w4kbg\"><\/a>Annexe B \u2013 M\u00e9thodes IIServerCore<\/h2>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"width: 26.3285%; text-align: center;\"><strong>Nom de la m\u00e9thode<\/strong><\/td>\n<td style=\"width: 73.0274%; text-align: center;\"><strong>Description<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">EncryptBase64<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit une cha\u00eene en clair et effectue un encodage\u00a0Base64 basique (il ne s\u2019agit pas d\u2019un chiffrement, malgr\u00e9 le nom). Cette fonction est utilis\u00e9e dans tout le malware pour obfusquer les donn\u00e9es transmises.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">DecryptBase64<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit une cha\u00eene encod\u00e9e en Base64 et la d\u00e9code pour revenir au texte en clair.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Encrypt<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit des octets bruts et une cha\u00eene cl\u00e9 de chiffrement. Cette fonction r\u00e9alise un chiffrement\u00a0AES en mode\u00a0ECB avec un remplissage\u00a0PKCS7. Elle cr\u00e9e un cipher\u00a0AES avec la cl\u00e9 fournie, chiffre les donn\u00e9es d\u2019entr\u00e9e et renvoie les octets chiffr\u00e9s. Le malware utilise cette m\u00e9thode pour s\u00e9curiser les communications avec le serveur\u00a0CnC.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Decrypt<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit des octets chiffr\u00e9s et la cl\u00e9 correspondante. La fonction d\u00e9chiffre ensuite les donn\u00e9es en appliquant AES (mode ECB, padding PKCS7). Cela inverse le processus de chiffrement et r\u00e9cup\u00e8re les donn\u00e9es originales, permettant ainsi au malware de traiter les commandes chiffr\u00e9es de l\u2019attaquant.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Compress<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit un tableau d\u2019octets et le compresse en utilisant Gzip. Cr\u00e9e une version compress\u00e9e des donn\u00e9es d\u2019entr\u00e9e pour r\u00e9duire la taille des flux transmis entre le malware et son serveur\u00a0CnC, ce qui rend le trafic r\u00e9seau moins suspect.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Decompress<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit des donn\u00e9es compress\u00e9es au format\u00a0Gzip et les d\u00e9compresse pour retrouver leur forme initiale.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">GetContext<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit une cha\u00eene contenant l\u2019int\u00e9gralit\u00e9 des donn\u00e9es de la requ\u00eate. Cette fonction extrait ensuite la portion correspondant au payload et renvoie uniquement les donn\u00e9es encod\u00e9es en Base64 qui contiennent le v\u00e9ritable payload malveillant.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">ConvertToSpecialString<\/span><\/td>\n<td style=\"width: 73.0274%;\">Prend une liste de dictionnaires (chaque dictionnaire contenant des paires cl\u00e9\/valeur de type cha\u00eene) et les convertit en une cha\u00eene format\u00e9e selon un format personnalis\u00e9. Cette cha\u00eene est utilis\u00e9e par la fonction<span style=\"font-family: 'courier new', courier, monospace;\"> SetContext<\/span> pour pr\u00e9parer les r\u00e9sultats d\u2019ex\u00e9cution des commandes.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">SetContext<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit la sortie structur\u00e9e g\u00e9n\u00e9r\u00e9e par <span style=\"font-family: 'courier new', courier, monospace;\">ConvertToSpecialString<\/span> et lui applique un encodage multi-couche (compression, chiffrement puis Base64) qui sera ensuite utilis\u00e9 pour la transmission s\u00e9curis\u00e9e des r\u00e9sultats vers le serveur\u00a0CnC.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">GetMd5Hash<\/span><\/td>\n<td style=\"width: 73.0274%;\">Re\u00e7oit une cha\u00eene en entr\u00e9e et calcule son empreinte\u00a0MD5.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.3285%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span><\/td>\n<td style=\"width: 73.0274%;\">Fonction d\u2019ex\u00e9cution principale qui re\u00e7oit le contexte\u00a0HTTP et orchestre l\u2019ensemble des op\u00e9rations du malware.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a id=\"post-159368-_heading=h.yd74hnimgutw\"><\/a><span style=\"font-size: 10pt;\">Tableau\u00a02. Liste des m\u00e9thodes IIServerCore.<\/span><\/p>\n<h2><a id=\"post-159368-_heading=h.mruyfvgts027\"><\/a>Annex\u00a0C\u00a0\u2013 Commandes int\u00e9gr\u00e9es<\/h2>\n<p>Les commandes suivantes sont embarqu\u00e9es dans la backdoor IIServerCore\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fileExist<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">listDir<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">createDir<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">renameDir<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fileRead<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">deleteFile<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Dictionary<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">createFile<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">changeLastModified<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">code_self<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">code_pid<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">run_code<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">addshell<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bypassPrecompiledApp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">listShell<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">removeShell<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">executeSQLQuery<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ExecuteNonQuery<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Phantom Taurus est un groupe de menaces chinois jusqu'ici non r\u00e9pertori\u00e9. D\u00e9couvrez comment l'arsenal singulier de ce groupe a permis de r\u00e9v\u00e9ler son existence.<\/p>\n","protected":false},"author":366,"featured_media":158608,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8823,8787],"tags":[9648,9649,9650,9651],"product_categories":[8965,8979,8955,9041,9053,9064,9151],"coauthors":[3808],"class_list":["post-159368","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-fr","category-malware-fr","tag-china-fr","tag-cl-sta-0043-fr","tag-phantom-taurus-fr","tag-tgr-sta-0043-fr","product_categories-advanced-threat-prevention-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR<\/title>\n<meta name=\"description\" content=\"Phantom Taurus est un groupe de menaces chinois jusqu&#039;ici non r\u00e9pertori\u00e9. D\u00e9couvrez comment l&#039;arsenal singulier de ce groupe a permis de r\u00e9v\u00e9ler son existence.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR\" \/>\n<meta property=\"og:description\" content=\"Phantom Taurus est un groupe de menaces chinois jusqu&#039;ici non r\u00e9pertori\u00e9. D\u00e9couvrez comment l&#039;arsenal singulier de ce groupe a permis de r\u00e9v\u00e9ler son existence.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-30T10:00:43+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-30T17:29:04+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Lior Rochberger\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR","description":"Phantom Taurus est un groupe de menaces chinois jusqu'ici non r\u00e9pertori\u00e9. D\u00e9couvrez comment l'arsenal singulier de ce groupe a permis de r\u00e9v\u00e9ler son existence.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/","og_locale":"fr_FR","og_type":"article","og_title":"Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR","og_description":"Phantom Taurus est un groupe de menaces chinois jusqu'ici non r\u00e9pertori\u00e9. D\u00e9couvrez comment l'arsenal singulier de ce groupe a permis de r\u00e9v\u00e9ler son existence.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/","og_site_name":"Unit 42","article_published_time":"2025-09-30T10:00:43+00:00","article_modified_time":"2025-09-30T17:29:04+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","type":"image\/png"}],"author":"Lior Rochberger","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR","datePublished":"2025-09-30T10:00:43+00:00","dateModified":"2025-09-30T17:29:04+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/"},"wordCount":3923,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","keywords":["China","CL-STA-0043","Phantom Taurus","TGR-STA-0043"],"articleSection":["Groupes cybercriminels","Malware"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/","name":"Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","datePublished":"2025-09-30T10:00:43+00:00","dateModified":"2025-09-30T17:29:04+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Phantom Taurus est un groupe de menaces chinois jusqu'ici non r\u00e9pertori\u00e9. D\u00e9couvrez comment l'arsenal singulier de ce groupe a permis de r\u00e9v\u00e9ler son existence.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/09-6-Phantom-Taurus-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of APT Phantom Taurus. The silhouette of a bull facing the reviewer and the Taurus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantom-taurus\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Phantom\u00a0Taurus\u00a0: d\u00e9couverte d\u2019un nouvel APT chinois et de la suite de malware\u00a0NET-STAR"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/159368","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=159368"}],"version-history":[{"count":7,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/159368\/revisions"}],"predecessor-version":[{"id":159812,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/159368\/revisions\/159812"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/158608"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=159368"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=159368"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=159368"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=159368"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=159368"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}