De natiestaatbedreigingsacteur bekend als Spiegelface is waargenomen in de inzet van malware genaamd RoamingMouse als onderdeel van een cyberspionage -campagne gericht tegen overheidsinstanties en openbare instellingen in Japan en Taiwan.
De activiteit, gedetecteerd door Trend Micro in maart 2025, omvatte het gebruik van speer-phishing kunstaas om een bijgewerkte versie van een achterdeur genaamd ANEL te leveren.
“Het ANEL -bestand uit de 2025 -campagne die in deze blog is besproken, implementeerde een nieuw opdracht ter ondersteuning van een uitvoering van BOF (Beacon Object File) in het geheugen,” zei beveiligingsonderzoeker Hara Hiroaki. “Deze campagne heeft ook mogelijk Sharfide gebruikt om de tweede fase achterdoor Noopdoor te lanceren.”
De China-uitgelijnde dreigingsacteur, ook bekend als Earth Kasha, wordt beoordeeld als een subcluster binnen APT10. In maart 2025 werpt ESET licht op een campagne die operatie Akairyū wordt genoemd die zich in augustus 2024 richtte op een diplomatieke organisatie in de Europese Unie met ANEL (aka Uppercut).
De targeting van verschillende Japanse en Taiwanese entiteiten wijst op een voortdurende uitbreiding van hun voetafdruk, omdat de hackploeg de diefstal van informatie wil uitvoeren om hun strategische doelstellingen te bevorderen.
De aanval begint met een speer-phishing-e-mail-waarvan sommige worden verzonden vanuit legitieme maar gecomprimeerde accounts-die een ingebed Microsoft OneDrive URL bevat, die op zijn beurt een zip-bestand downloadt.
Het zip-archief bevat een Malware-LACED Excel-document en een macro-compatibele druppel gecodeerde RoamingMouse die dient als een leiding om componenten te leveren met betrekking tot ANEL. Het is vermeldenswaard dat RoamingMouse sinds vorig jaar door Mirrorface is gebruikt.
“Roamingmouse decodeert vervolgens het ingebedde zip -bestand met behulp van Base64, laat de rits op een schijf vallen en breidt zijn componenten uit,” zei Hiroaki. Dit omvat –
- Jslntool.exe, jstiee.exe of jsvwmng.exe (een legitiem binair)
- Jsfc.dll (anelldr)
- Een gecodeerde ANEL -lading
- MSVCR100.DLL (een legitieme DLL -afhankelijkheid van het uitvoerbare bestand)
Het einddoel van de aanvalsketen is om het legitieme uitvoerbare bestand te lanceren met behulp van explorer.exe en het vervolgens te gebruiken om de kwaadaardige DLL te sideload, in dit geval, Anelldr, die verantwoordelijk is voor het decoderen en lanceren van de ANEL -achterdeur.
Wat opmerkelijk is aan het ANEL-artefact dat in de 2025-campagne wordt gebruikt, is de toevoeging van een nieuw opdracht ter ondersteuning van de uitvoering van het geheugen van Beacon Object Files (BOFS), die zijn samengesteld C-programma’s die zijn ontworpen om de Cobalt Strike Agent uit te breiden met nieuwe functies na de exploitatie.
“Na het installeren van het ANEL -bestand verkregen acteurs achter Earth Kasha screenshots met behulp van een backdoor -commando en onderzocht het de omgeving van het slachtoffer,” legde Trend Micro uit. “De tegenstander lijkt het slachtoffer te onderzoeken door screenshots te bekijken, proceslijsten uit te voeren en domeininformatie.”
Selectieinstanties hebben ook een open-source tool genaamd Sharphide gebruikt om een nieuwe versie van Noopdoor (AKA Hiddenface) te starten, een andere achterdeur die eerder werd geïdentificeerd zoals gebruikt door de hackgroep. Het implantaat van zijn kant ondersteunt DNS-over-HTTPS (DOH) om zijn IP-adres-opzoekingen te verbergen tijdens command-and-control (C2) -bewerkingen.
“Earth Kasha blijft een actieve geavanceerde aanhoudende bedreiging en richt zich nu op overheidsinstanties en openbare instellingen in Taiwan en Japan in haar laatste campagne die we in maart 2025 hebben ontdekt,” zei Hiroaki.
“Ondernemingen en organisaties, met name die met hoogwaardige activa zoals gevoelige gegevens met betrekking tot governance, evenals intellectueel eigendom, infrastructuurgegevens en toegangsreferenties moeten waakzaam blijven en proactieve veiligheidsmaatregelen implementeren om het slachtoffer van cyberaanvallen te voorkomen.”
