Playful Taurus, también conocido como APT15, BackdoorDiplomacy, Vixen Panda, KeChang y NICKEL, es un grupo chino de amenazas persistentes avanzadas que constantemente realiza campañas de espionaje cibernético. El grupo ha estado activo desde al menos 2010 e históricamente se ha centrado en entidades gubernamentales y diplomáticas en América del Norte y del Sur, África y Oriente Medio.

El informe completo de Unit 42 de la actividad de Playful Taurus en Irán se encuentra disponible aquí.

En junio de 2021, ESET informó que este grupo había actualizado su kit de herramientas para incluir un nuevo backdoor llamado Turian; este se encuentra en desarrollo activo y se evalúa que es utilizado exclusivamente por los actores de Playful Taurus. Siguiendo la evolución de esta capacidad, recientemente Unit 42 de Palo Alto Networks identificó nuevas variantes de este backdoor, así como una nueva infraestructura de comando y control.

Playful Taurus continúa evolucionando sus tácticas y sus herramientas. Las actualizaciones recientes al backdoor de Turian y la nueva infraestructura C2 sugieren que estos actores continúan teniendo éxito durante sus campañas de espionaje cibernético. El análisis de las muestras y las conexiones a la infraestructura maliciosa sugiere que las redes del gobierno iraní probablemente se hayan visto comprometidas. Asimismo, Playful Taurus despliega rutinariamente las mismas tácticas y técnicas contra otras entidades gubernamentales y diplomáticas en América del Norte y del Sur, África y Oriente Medio.

Los clientes de Palo Alto Networks reciben protección contra las amenazas descritas en este blog a través del filtrado de URL avanzado, seguridad DNS, Cortex XDR y análisis de malware WildFire.

El informe completo de Unit 42 de la actividad de Playful Taurus en Irán se encuentra disponible aquí.