O ator de ameaças patrocinado por um Estado-nação conhecido como MirrorFace foi observado implementando um malware apelidado de ROAMINGMOUSE como parte de uma campanha de ciberespionagem direcionada contra agências governamentais e instituições públicas no Japão e Taiwan.
A atividade, detectada pela Trend Micro em março de 2025, envolveu o uso de iscas de spear-phishing para entregar uma versão atualizada de um backdoor chamado ANEL.
"O arquivo ANEL da campanha de 2025 discutido neste blog implementou um novo comando para suportar a execução de BOF (Beacon Object File) na memória," disse o pesquisador de segurança Hara Hiroaki.
Esta campanha também potencialmente aproveitou o SharpHide para lançar o backdoor de segunda fase NOOPDOOR. O ator de ameaça alinhado com a China, também conhecido como Earth Kasha, é avaliado como um sub-cluster dentro do APT10.
Em março de 2025, a ESET destacou uma campanha referida como Operação AkaiRyū que mirou uma organização diplomática na União Europeia em agosto de 2024 com ANEL (também conhecido como UPPERCUT).
O alvo de várias entidades japonesas e taiwanesas aponta para uma expansão contínua de sua área de atuação, conforme a equipe de hackers busca realizar o roubo de informações para avançar seus objetivos estratégicos.
O ataque começa com um e-mail de spear-phishing -- alguns dos quais são enviados de contas legítimas, mas comprometidas -- que contém uma URL incorporada do Microsoft OneDrive, que, por sua vez, baixa um arquivo ZIP.
O arquivo ZIP inclui um documento do Excel com malware e um dropper habilitado para macro codinome ROAMINGMOUSE que serve como um conduto para entregar componentes relacionados ao ANEL.
Vale ressaltar que o ROAMINGMOUSE vem sendo utilizado pelo MirrorFace desde o último ano.
"ROAMINGMOUSE então decodifica o arquivo ZIP embutido usando Base64, solta o ZIP em um disco e expande seus componentes," disse Hiroaki.
Isso inclui:
- JSLNTOOL.exe, JSTIEE.exe ou JSVWMNG.exe (um binário legítimo)
- JSFC.dll (ANELLDR)
- Um payload ANEL criptografado
- MSVCR100.dll (uma DLL legítima dependência do executável)
O objetivo final da cadeia de ataque é lançar o executável legítimo usando explorer.exe e depois usá-lo para carregar lateralmente a DLL maliciosa, no caso, ANELLDR, que é responsável por descriptografar e lançar o backdoor ANEL.
O que é notável sobre o artefato ANEL usado na campanha de 2025 é a adição de um novo comando para suportar a execução em memória de arquivos de objeto sinalizador (BOFs), que são programas C compilados projetados para estender o agente Cobalt Strike com novos recursos de pós-exploração.
"Após instalar o arquivo ANEL, os atores por trás do Earth Kasha obtiveram capturas de tela usando um comando de backdoor e examinaram o ambiente da vítima," explicou a Trend Micro.
O adversário parece investigar a vítima olhando através de capturas de tela, listas de processos em execução e informações de domínio.
Em algumas instâncias, também se aproveitou uma ferramenta de código aberto chamada SharpHide para lançar uma nova versão do NOOPDOOR (também conhecido como HiddenFace), outro backdoor anteriormente identificado como utilizado pelo grupo de hackers.
O implante, por sua parte, suporta DNS-sobre-HTTPS (DoH) para ocultar suas buscas de endereços IP durante operações de comando e controle (C2).
"Earth Kasha continua sendo uma ameaça persistente avançada ativa e agora está mirando agências governamentais e instituições públicas em Taiwan e Japão em sua última campanha que detectamos em março de 2025," disse Hiroaki.
Empresas e organizações, especialmente aquelas com ativos de alto valor como dados sensíveis relacionados à governança, propriedade intelectual, dados de infraestrutura e credenciais de acesso, devem continuar vigilantes e implementar medidas de segurança proativas para prevenir serem vítimas de ataques cibernéticos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...