Caçadores de ameaças lançaram mais luz sobre uma campanha de malware previamente divulgada, realizada pelo ator de ameaça alinhado à China, MirrorFace, que teve como alvo uma organização diplomática na União Europeia com um backdoor conhecido como ANEL.
O ataque, detectado pela ESET no final de agosto de 2024, visava um instituto diplomático da Europa Central com iscas relacionadas à Expo Mundial, prevista para começar em Osaka, Japão, no próximo mês.
A atividade foi batizada de Operação AkaiRyū (japonês para RedDragon).
Ativa desde pelo menos 2019, MirrorFace também é referido como Earth Kasha.
Avalia-se ser um subgrupo dentro do guarda-chuva APT10.
Conhecido por seu alvo exclusivo em entidades japonesas, o ataque do ator de ameaça a uma organização europeia marca uma mudança em relação à sua tipologia de vítimas habitual.
Isso não é tudo.
A intrusão também é notável por utilizar uma variante fortemente customizada do AsyncRAT e ANEL (aka UPPERCUT), um backdoor anteriormente vinculado ao APT10.
O uso do ANEL é significativo não só porque destaca uma mudança do LODEINFO, mas também o retorno do backdoor depois que foi descontinuado em algum momento no final de 2018 ou início de 2019.
"Infelizmente, não estamos cientes de qualquer razão específica para o MirrorFace mudar do uso do LODEINFO para o ANEL," a ESET informou ao The Hacker News.
"No entanto, não observamos o LODEINFO sendo usado durante todo o ano de 2024 e até agora, não o vimos ser usado em 2025 também.
Portanto, parece que o MirrorFace mudou para o ANEL e abandonou o LODEINFO por agora."
A empresa eslovaca de cibersegurança também observou que a Operação AkaiRyū se sobrepõe com a Campanha C, que foi documentada pela Agência Nacional de Polícia do Japão (NPA) e pelo Centro Nacional de Prontidão e Estratégia para Cibersegurança (NCSC) no início deste janeiro.
Outras mudanças importantes incluem o uso de uma versão modificada do AsyncRAT e Visual Studio Code Remote Tunnels para estabelecer acesso furtivo às máquinas comprometidas, sendo o último uma tática cada vez mais favorecida por vários grupos de hackers chineses.
As cadeias de ataque envolvem o uso de iscas de spear-phishing para persuadir os destinatários a abrir documentos ou links armadilhados que lançam um componente carregador chamado ANELLDR via DLL side-loading que então descriptografa e carrega o ANEL.
Também é introduzido um backdoor modular chamado HiddenFace (aka NOOPDOOR) que é usado apenas pelo MirrorFace.
"No entanto, ainda há muitas peças do quebra-cabeça faltando para traçar um quadro completo das atividades," disse a ESET.
"Uma das razões é a segurança operacional aprimorada do MirrorFace, que se tornou mais minuciosa e dificulta as investigações de incidentes através da exclusão das ferramentas e arquivos entregues, limpando os logs de eventos do Windows e executando malware no Windows Sandbox."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...