Dreigingsjagers hebben meer licht geworpen op een eerder bekendgemaakte malware-campagne van de China-uitgelijnde Mirrorface Threat Actor die zich richtte op een diplomatieke organisatie in de Europese Unie met een achterdeur die bekend staat als ANEL.
De aanval, gedetecteerd door ESET eind augustus 2024, heeft een Midden -Europees diplomatiek instituut uitgekozen met kunstaas gerelateerd aan Word Expo, dat is gepland om volgende maand in Osaka, Japan te beginnen.
De activiteit is codenaam operatie Akairyū (Japans voor Reddragon). Actief sinds minstens 2019, wordt Mirrorface ook wel Earth Kasha genoemd. Het wordt beoordeeld als een subgroep binnen de APT10 -paraplu.
Hoewel bekend om zijn exclusieve targeting van Japanse entiteiten, markeert de aanval van de dreigingsacteur op een Europese organisatie een afwijking van haar typische slachtofferachtige voetafdruk.
Dat is niet alles. De inbraak is ook opmerkelijk voor het inzetten van een zwaar aangepaste variant van asyncrat en ANEL (aka uppercut), een achterdeur die eerder was gekoppeld aan APT10.
Het gebruik van ANEL is niet alleen belangrijk omdat het een verschuiving van LodeInfo benadrukt, maar ook de terugkeer van de achterdeur nadat deze ergens eind 2018 of begin 2019 werd stopgezet.
“Helaas zijn we niet op de hoogte van een bepaalde reden voor Mirrorface om over te schakelen van het gebruik van LodeInfo naar ANEL,” vertelde ESET -onderzoeker Dominik Breitenbacher aan The Hacker News. “We hebben echter niet gezien dat LodeInfo de hele 2024 wordt gebruikt en tot nu toe hebben we het ook niet in 2025 zien worden gebruikt. Daarom lijkt Mirrorface voorlopig overgeschakeld naar ANEL en verlaten LodeInfo.”
Het Slowaakse Cybersecurity Company merkte ook op dat operatie Akairyū overlapt met campagne C die werd gedocumenteerd door het Japanse National Police Agency (NPA) en National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) eerder in januari.
Andere belangrijke wijzigingen zijn het gebruik van een aangepaste versie van asyncrat en visuele studiocode tunnels op afstand om heimelijke toegang tot de gecompromitteerde machines te vestigen, waarvan de laatste een tactiek is geworden die steeds meer wordt begunstigd door meerdere Chinese hackgroepen.
De aanvalsketens omvatten het gebruik van speer-phishing-kunstaas om ontvangers te overtuigen in het openen van booby-gevangen documenten of links die een ladercomponent met de naam Anelldr lanceren via DLL-side-loading die vervolgens decodeert en ANEL laadt. Ook is een modulaire achterdeur genaamd Hiddenface (aka Noopdoor) die alleen door Mirrorface wordt gebruikt.
“Er zijn echter nog steeds veel ontbrekende stukjes van de puzzel om een compleet beeld van de activiteiten te maken,” zei Eset. “Een van de redenen is dat de verbeterde operationele beveiliging van Mirrorface, die grondiger is geworden en incidentonderzoek belemmert door de geleverde tools en bestanden te verwijderen, Windows -evenementenlogboeken te wissen en malware te gebruiken in Windows Sandbox.”
