A ESET identificou uma campanha de ciberespionagem atribuída ao grupo MirrorFace, associado à China. As atividades visaram, pela primeira vez documentada, uma entidade diplomática localizada na Europa Central, desviando-se do foco geográfico tradicional do grupo, concentrado no Japão. A descoberta ocorreu entre o segundo e o terceiro trimestre de 2024.
Esta campanha de ciberespionagem, denominada AkaiRyū (Dragão Vermelho em japonês) pela ESET, utilizou a próxima Exposição Mundial de 2025, agendada para Osaka, no Japão, como tema central para os seus ataques.
Esta escolha temática sugere que, apesar da expansão geográfica do alvo, o interesse do grupo mantém uma ligação a eventos relacionados com o Japão.
A investigação aponta para uma atualização significativa nas táticas, técnicas e procedimentos (TTPs) empregues pelo MirrorFace nesta recente campanha de ciberespionagem.
Novas táticas na campanha de ciberespionagem
A campanha de ciberespionagem AkaiRyū demonstrou uma evolução nos métodos do MirrorFace. O grupo recorreu a emails de spearphishing, simulando comunicações legítimas que faziam referência a interações anteriores entre a entidade alvo e uma organização não governamental japonesa.
O objetivo era induzir os destinatários a interagir com conteúdos maliciosos. A análise revelou ainda o uso de uma variante personalizada do trojan de acesso remoto (RAT) AsyncRAT, executada dentro da Windows Sandbox para dificultar a deteção por ferramentas de segurança.
Adicionalmente, o MirrorFace adotou a ferramenta Visual Studio Code (VS Code) para explorar a sua funcionalidade de túneis remotos. Esta técnica permite estabelecer acessos discretos aos sistemas comprometidos, executar comandos e implementar outras ferramentas maliciosas.
O grupo continuou também a utilizar a sua backdoor principal, conhecida como HiddenFace, para manter a persistência nos sistemas infetados. Observou-se ainda o abuso de aplicações legítimas, como ferramentas da McAfee e da JustSystems, para executar software malicioso nos computadores das vítimas.
Revitalização de ferramenta e ligação ao APT10
Um dos aspetos técnicos relevantes da operação foi a utilização da backdoor ANEL (também conhecida como UPPERCUT).
Esta ferramenta, anteriormente associada exclusivamente ao grupo APT10 e considerada abandonada, parece ter tido o seu desenvolvimento retomado. A backdoor ANEL permite funções básicas como manipulação de ficheiros, execução de código e captura de ecrãs.
A reintrodução da ANEL no arsenal do MirrorFace, juntamente com semelhanças observadas anteriormente nos alvos e no código de malware, levou a ESET a reavaliar a ligação entre os dois grupos.
A empresa de segurança considera agora que o MirrorFace opera como um subgrupo do APT10. Esta conclusão baseia-se na acumulação de evidências técnicas e operacionais que sugerem uma coordenação ou partilha de recursos entre ambos.
A investigação da ESET expôs uma mudança na área de atuação do grupo MirrorFace, que passou a incluir alvos europeus. A campanha de ciberespionagem AkaiRyū revelou a adoção de TTPs atualizados, incluindo a reativação da backdoor ANEL e o uso de técnicas evasivas como a execução de malware em ambientes isolados e o abuso de ferramentas legítimas.
A análise também reforçou a hipótese de uma ligação operacional entre o MirrorFace e o grupo APT10, resultando numa reatribuição da afiliação do MirrorFace por parte dos investigadores.
Para mais informações, visite este link.
Outros artigos interessantes:
