MirrorFace, a Chinese APT group linked to the government, targeted a European diplomatic entity involved in the 2025 Expo in Osaka. This marks their first attack on a European entity, using tools like ANEL and AsyncRAT. The group may be a subgroup of APT10 and remains focused on Japan-related events despite expanding their reach. 2025-3-19 17:1:31 Author: www.securityinfo.it(查看原文) 阅读量:10 收藏
MirrorFace ha colpito un ente diplomatico europeo
Mar 19, 2025 Attacchi, In evidenza, Intrusione, News, RSS
MirrorFace, gruppo APT cinese allineato al governo, ha colpito un ente diplomatico europeo coinvolto nell’Expo 2025. Il gruppo, noto per attività di cyberspionaggio contro istituzioni giapponesi, ha esteso il proprio raggio d’azione per colpire altre realtà coinvolte nella prossima edizione dell’esposizione attesa a Osaka.
In un’analisi sul proprio blog, il team di WeLiveSecurity di ESET ha sottolineato che si tratta del primo attacco del gruppo contro un’entità europea. L’attacco, parte della campagna Operation AkaiRyū attiva già nel 2024, ha fatto uso della backdoor ANEL e di AsyncRAT.
L’attacco di MirrorFace
Come negli attacchi precedenti, anche in questo caso le attività sono cominciate con delle email di spearphishing contenenti allegati malevoli per l’esecuzione di malware.
Il gruppo ha però aggiornato le proprie tattiche e il proprio arsenale di tool, come dimostra l’uso di ANEL, una backdoor usata in precedenza esclusivamente dalla gang APT10. Per questo motivo, i ricercatori di ESET ritengono che MirrorFace possa essere un sottogruppo di APT10.
La backdoor è in grado di comunicare col server C2 tramite HTTP e cifrare i dati inviati per nascondere il contenuto in caso di individuazione. ANEL supporta inoltre comandi base per modificare file, eseguire payload e catturare screenshot.
Durante gli attacchi il gruppo ha fatto uso anche di una variante altamente personalizzata di AsyncRAT, un trojan ad accesso remoto già utilizzato nelle campagne del 2024. Questa variante si appoggia a un complesso meccanismo di sandboxing che consente di eseguire il RAT in un ambiente protetto.
La versione di AsyncRAT di MirrorFace può essere compilata con specifiche caratteristiche per colpire una particolare vittima e può scaricare ed eseguire un client Tor per la comunicazione col server C2.
Il gruppo ha inoltre usato tool quali PuTTY, HiddenFace (un’altra backdoor), Hidden Start e Rubeus per eseguire una serie di azioni post-compromissione e cercare di mantenere la persistenza sulle macchine colpite. Il gruppo ha eseguito i tool in maniera selettiva in base al tipo e al ruolo dell’utente che utilizzava la macchina compromessa.
L’impatto
Secondo l’analisi di WeLiveSecurity, il gruppo ha aspettato cinque giorni prima di cominciare l’attività di esfiltrazione dei dati. Al sesto giorno, la gang è riuscita a esportare dati sensibili da Chrome quali informazioni di contatto, dati per l’autoriempimento dei form e le informazioni delle carte di credito memorizzate sul browser.
Nonostante abbia colpito un’entità europea, il gruppo continua ad agire contro il governo giapponese: “Durante questo attacco, il gruppo ha sfruttato l’imminente World Expo 2025 come esca. Ciò dimostra che, anche considerando questo nuovo obiettivo geografico più ampio, MirrorFace rimane focalizzato sul Giappone e sugli eventi ad esso correlati” hanno spiegato i ricercatori di WeLiveSecurity.
L’intervento dei ricercatori ha permesso all’entità colpita di eliminare la presenza del gruppo sulle proprie macchine, ma ci sono ancora diversi punti oscuri riguardo le attività del gruppo che preoccupano gli esperti e aumentano la probabilità che MirrorFace torni presto all’attacco.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh