Vous pensez connaître les APT célèbres comme APT27, Winnti, ou Mustang Panda ? Pourtant, un groupe moins médiatisé, mais tout aussi redoutable, est en train de faire des vagues dans le monde de l’espionnage cybernétique : Phantom Taurus. Pendant près de trois ans, ce groupe a réussi à s’infiltrer dans des ministères, ambassades et réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie, tout en restant dans l’ombre. Ce n’est que récemment, le 30 septembre 2025, que les chercheurs de l’Unit 42 de Palo Alto Networks ont révélé l’ampleur de leurs opérations.
Les révélations sont tout particulièrement inquiétantes, car pendant des événements majeurs tels que le sommet historique Chine-États arabes en décembre 2022, Phantom Taurus a réussi à infiltrer les systèmes des ministères des affaires étrangères participant à la rencontre. Leur objectif : surveiller les e-mails traitant des relations entre les pays arabes et la Chine, tout en maintenant l’illusion d’un partenariat solide. Ainsi, dans les coulisses, l’espionnage moderne opérait, recueillant des informations critiques qui pourraient influencer les décisions diplomatiques.
“Alors que le monde se concentre sur des cyberattaques spectaculaires, Phantom Taurus continue discrètement d’aspirer des secrets diplomatiques essentiels.”
L’historique de Phantom Taurus prend un tournant significatif en juin 2023 lorsque les analystes commencent à repérer des activités anormales, qu’ils classifient sous le nom de code CL-STA-0043. Au fil des mois, les preuves s’accumulent, et en mai 2024, cette menace est rebaptisée “Operation Diplomatic Specter”. L’hiver suivant, l’enquête prend de l’ampleur, et le groupe est rebaptisé Phantom Taurus, un nom qui évoque à la fois l’astrologie et la furtivité de leurs opérations.
Les techniques utilisées par ce groupe sont particulièrement sophistiquées, exploitant des malwares développés en .NET et conçus pour infiltrer les serveurs de manière imperceptible. Parmi ces outils, IIServerCore se démarque comme une backdoor fileless, opérant uniquement en mémoire, et permettant un accès direct et indétecté aux serveurs. En intégrant des méthodes de contournement des systèmes de sécurité, Phantom Taurus a réussi à rester actif, adaptant constamment ses stratégies d’exfiltration de données, allant de l’e-mail au ciblage direct des bases de données SQL Server.
En fin de compte, Phantom Taurus représente bien plus qu’un simple groupe de hackers. Leur approche méthodique et leur capacité d’adaptation en font un acteur clé dans la stratégie d’espionnage cybernétique de la Chine. Alors que des efforts sont déployés pour contrer leurs attaques, il est clair que la menace demeure. Les dernières activités du groupe, observées juste avant la publication des résultats de l’enquête, indiquent que Phantom Taurus ne fait que commencer.
