De Japanse Nationale Politie (NPA) en het Nationale Centrum voor Incidentbereidheid en Strategie voor Cybersecurity (NCSC) beschuldigden een aan China gelieerde dreigingsacteur genaamd MirrorFace ervan sinds 2019 een aanhoudende aanvalscampagne te orkestreren die zich richt op organisaties, bedrijven en individuen in het land.
Het primaire doel van de aanvalscampagne is het stelen van informatie met betrekking tot de Japanse nationale veiligheid en geavanceerde technologie, aldus de agentschappen.
MirrorFace, ook gevolgd als Earth Kasha, wordt beschouwd als een subgroep binnen APT10. Het heeft een track record van het systematisch aanvallen van Japanse entiteiten, waarbij vaak gebruik wordt gemaakt van tools als ANEL, LODEINFO en NOOPDOOR (ook bekend als HiddenFace).
Vorige maand onthulde Trend Micro details van een spearphishing-campagne die zich richtte op individuen en organisaties in Japan met als doel ANEL en NOOPDOOR te leveren. Andere campagnes die de afgelopen jaren zijn waargenomen, waren ook gericht tegen Taiwan en India.
Volgens NPA en NCSC zijn de aanvallen van MirrorFace grofweg onderverdeeld in drie grote campagnes:
- Campagne A (Van december 2019 tot juli 2023), gericht op denktanks, overheden, politici en mediaorganisaties die spear-phishing-e-mails gebruiken om LODEINFO, NOOPDOOR en LilimRAT te bezorgen (een aangepaste versie van de open-source Lilith RAT)
- Campagne B (Van februari tot oktober 2023), gericht op de halfgeleider-, productie-, communicatie-, academische en ruimtevaartsector door bekende kwetsbaarheden in internetgerichte Array Networks, Citrix en Fortinet-apparaten te exploiteren om netwerken te doorbreken om Cobalt Strike Beacon, LODEINFO en NOOPDOOR te leveren
- Campagne C (Vanaf juni 2024), gericht op de academische wereld, denktanks, politici en mediaorganisaties die spear-phishing-e-mails gebruiken om ANEL (ook bekend als UPPERCUT) te bezorgen
De aanvallen worden ook gekenmerkt door het gebruik van externe tunnels van Visual Studio Code om geheime verbindingen tot stand te brengen, waardoor de bedreigingsactoren de netwerkverdediging kunnen omzeilen en gecompromitteerde systemen op afstand kunnen controleren.
De agentschappen merkten ook op dat ze gevallen hebben waargenomen waarin de aanvallers heimelijk de kwaadaardige ladingen uitvoerden die op de hostcomputer in de Windows Sandbox waren opgeslagen en sinds ten minste juni 2023 met een command-and-control-server hebben gecommuniceerd.
“Deze methode maakt het mogelijk malware uit te voeren zonder te worden gecontroleerd door antivirussoftware of EDR op de hostcomputer. Wanneer de hostcomputer wordt afgesloten of opnieuw wordt opgestart, worden sporen in de Windows Sandbox gewist, zodat er geen bewijsmateriaal achterblijft”, aldus de NPA. en NCSC zei.