De aan China verbonden MirrorFace-hackers richten zich op EU-diplomaten met aas voor de Wereldtentoonstelling van 2025

Er is waargenomen dat de met China verbonden dreigingsacteur, bekend als MirrorFace, zich richt op een diplomatieke organisatie in de Europese Unie, wat de eerste keer is dat de hackploeg zich op een entiteit in de regio heeft gericht.

“Tijdens deze aanval gebruikte de bedreigingsacteur als lokmiddel de komende Wereldtentoonstelling, die in 2025 in Osaka, Japan zal worden gehouden”, aldus ESET in zijn APT-activiteitenrapport voor de periode april tot september 2024.

“Dit laat zien dat MirrorFace, zelfs als we deze nieuwe geografische targeting in ogenschouw nemen, gefocust blijft op Japan en daaraan gerelateerde evenementen.”

MirrorFace, ook gevolgd als Earth Kasha, wordt geacht deel uit te maken van een overkoepelende groep die bekend staat als APT10, die ook clusters omvat die worden gevolgd als Earth Tengshe en Bronze Starlight. Het staat bekend om zijn targeting op Japanse organisaties, in ieder geval sinds 2019, hoewel een nieuwe campagne die begin 2023 werd waargenomen, zijn activiteiten uitbreidde naar Taiwan en India.

In de loop der jaren is het malware-arsenaal van de hackploeg geëvolueerd en omvat het backdoors zoals ANEL (ook bekend als UPPERCUT), LODEINFO en NOOPDOOR (ook bekend als HiddenFace), evenals een inloggegevensdief die MirrorStealer wordt genoemd.

ESET vertelde The Hacker News dat de MirrorFace-aanvallen zeer doelgericht zijn en dat er doorgaans “minder dan 10 aanvallen per jaar” plaatsvinden. Het einddoel van deze inbraken is cyberspionage en gegevensdiefstal. Dat gezegd hebbende, is dit niet de eerste keer dat diplomatieke organisaties het doelwit zijn van deze dreigingsactor.

Bij de laatste aanval die door het Slowaakse cyberbeveiligingsbedrijf werd gedetecteerd, kreeg het slachtoffer een spearphishing-e-mail met een link naar een ZIP-archief (“De EXPO-tentoonstelling in Japan in 2025.zip”) gehost op Microsoft OneDrive.

Het archiefbestand bevatte een Windows-snelkoppelingsbestand (“The EXPO Exhibition in Japan in 2025.docx.lnk”) dat, toen het werd gelanceerd, een infectiesequentie veroorzaakte die uiteindelijk ANEL en NOOPDOOR inschakelde.

“ANEL verdween rond eind 2018 of begin 2019 van het toneel, en men geloofde dat LODEINFO hierin was geslaagd en later in 2019 verscheen”, aldus ESET. “Daarom is het interessant om te zien dat ANEL na bijna vijf jaar weer opduikt.”

De ontwikkeling komt omdat met China gelieerde bedreigingsactoren, zoals Flax Typhoon, Granite Typhoon en Webworm, steeds meer vertrouwen op de open-source en multi-platform SoftEther VPN om toegang te behouden tot de netwerken van slachtoffers.

Het volgt ook op een rapport van Bloomberg waarin staat dat de aan China gelinkte Volt Typhoon Singapore Telecommunications (Singtel) heeft geschonden als een “testrun” als onderdeel van een bredere campagne gericht op telecombedrijven en andere kritieke infrastructuur, waarbij twee mensen worden aangehaald die bekend zijn met de zaak. De cyberinbraak werd in juni 2024 ontdekt.

Telecommunicatie- en netwerkdienstverleners in de VS, zoals AT&T, Verizon en Lumen Technologies, zijn ook het doelwit geworden van een ander vijandig collectief van de Chinese natiestaten genaamd Salt Typhoon (ook bekend als FamousSparrow en GhostEmperor).

Eerder deze week zei The Wall Street Journal dat de hackers deze aanvallen gebruikten om mobiele telefoonlijnen in gevaar te brengen die worden gebruikt door verschillende hoge nationale veiligheidsfunctionarissen, beleidsfunctionarissen en politici in de VS. deelt inlichtingen met de VS”

Thijs Van der Does