A Agência Nacional de Polícia do Japão (NPA) e o Centro Nacional de Preparação e Estratégia para a Cibersegurança (NCSC) acusaram um ator de ameaças vinculado à China, denominado MirrorFace, de orquestrar uma campanha de ataques persistentes visando organizações, empresas e indivíduos no país desde 2019.
O principal objetivo da campanha de ataques é roubar informações relacionadas à segurança nacional do Japão e tecnologias avançadas, segundo as agências.
MirrorFace, também monitorado como Earth Kasha, é avaliado como um subgrupo dentro do APT10.
Possui um histórico de ataques sistemáticos a entidades japonesas, frequentemente utilizando ferramentas como ANEL, LODEINFO e NOOPDOOR (também conhecido como HiddenFace).
No mês passado, a Trend Micro revelou detalhes de uma campanha de spear-phishing que visava indivíduos e organizações no Japão com o objetivo de entregar ANEL e NOOPDOOR.
Outras campanhas observadas nos últimos anos também foram direcionadas contra Taiwan e Índia.
De acordo com a NPA e a NCSC, os ataques realizados pelo MirrorFace foram amplamente categorizados em três grandes campanhas:
Campanha A (De dezembro de 2019 a julho de 2023), visando think tanks, governos, políticos e organizações de mídia usando e-mails de spear-phishing para entregar LODEINFO, NOOPDOOR e LilimRAT (uma versão personalizada do Lilith RAT de código aberto) Campanha B (De fevereiro a outubro de 2023), visando setores de semicondutores, manufatura, comunicações, acadêmicos e aeroespacial explorando vulnerabilidades conhecidas em dispositivos Array Networks, Citrix e Fortinet voltados para a internet para violar redes e entregar Cobalt Strike Beacon, LODEINFO e NOOPDOOR Campanha C (A partir de junho de 2024), visando a academia, think tanks, políticos e organizações de mídia usando e-mails de spear-phishing para entregar ANEL.
As agências também notaram que observaram instâncias em que os invasores executaram furtivamente os payloads maliciosas armazenadas no computador hospedeiro dentro do Windows Sandbox e comunicaram-se com um servidor de comando e controle desde pelo menos junho de 2023.
"Este método permite que o malware seja executado sem ser monitorado por softwares antivírus ou EDR no computador hospedeiro, e quando o computador é desligado ou reiniciado, os rastros no Windows Sandbox são apagados, então, evidências não são deixadas para trás", disseram a NPA e a NCSC.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...