Aktér napojený na Čínu, známý jako MirrorFace, byl zaznamenán při útoku na diplomatickou organizaci v Evropské unii. Jde o první případ, kdy tato hackerská skupina cílila na subjekt v tomto regionu.“
„Během tohoto útoku použil aktér jako návnadu nadcházející Světovou výstavu, která se bude konat v roce 2025 v Osace v Japonsku,“ uvedla společnost ESET ve své zprávě o aktivitách APT za období od dubna do září 2024.
„To naznačuje, že i přes nové geografické zaměření zůstává MirrorFace stále primárně orientován na Japonsko a události s ním spojené.“
MirrorFace, také známý jako Earth Kasha, je považován za součást skupiny APT10, která také zahrnuje klastery sledované jako Earth Tengshe a Bronze Starlight. Je známý svým zaměřením na japonské organizace nejméně od roku 2019, ačkoli nová kampaň pozorovaná na začátku roku 2023 rozšířila své operace na Tchaj-wan a Indii.
V průběhu let se arzenál malwaru této hackerské skupiny vyvinul tak, aby zahrnoval zadní vrátka jako ANEL (také známý jako UPPERCUT), LODEINFO a NOOPDOOR (také známý jako HiddenFace), stejně jako krádež přihlašovacích údajů označovanou jako MirrorStealer.
„Společnost ESET uvedla, že útoky skupiny MirrorFace jsou pečlivě cílené a že obvykle zaznamenává méně než 10 útoků ročně.“ Konečným cílem těchto průniků je kybernetická špionáž a krádež dat. „To naznačuje, že diplomatické organizace byly cílem útoků již dříve.“
V nejnovějším útoku detekovaném slovenskou kybernetickou bezpečnostní společností byla oběti zaslána spear-phishingová e-mailová zpráva obsahující odkaz na ZIP archiv („Výstava EXPO v Japonsku v roce 2025.zip“) hostovaný na Microsoft OneDrive.
Archivní soubor obsahoval zástupce Windows („Výstava EXPO v Japonsku v roce 2025.docx.lnk“), který po spuštění spustil sekvenci infekce, která nakonec nasadila ANEL a NOOPDOOR.
„ANEL zmizel ze scény kolem konce roku 2018 nebo začátku roku 2019 a věřilo se, že jej nahradil LODEINFO, který se objevil později v roce 2019,“ uvedla společnost ESET. „Proto je zajímavé vidět, že se ANEL znovu objevuje po téměř pěti letech.“
„Tento vývoj přichází ve chvíli, kdy bylo zjištěno, že aktéři napojení na Čínu, jako Flax Typhoon, Granite Typhoon a Webworm, stále více spoléhají na open-source a multiplatformní SoftEther VPN k udržení přístupu do sítí svých obětí.“
Zdroj: thehackernews.com