MirrorFace olarak bilinen Çin bağlantılı tehdit aktörünün Avrupa Birliği’ndeki diplomatik bir kuruluşu hedef aldığı gözlemlendi; bu, bilgisayar korsanlığı ekibinin bölgedeki bir varlığı ilk kez hedeflediği anlamına geliyor.
ESET, “Bu saldırı sırasında tehdit aktörü, 2025 yılında Japonya’nın Osaka kentinde düzenlenecek olan World Expo’yu yem olarak kullandı.” söz konusu Nisan-Eylül 2024 dönemine ait APT Faaliyet Raporunda.
“Bu, yeni coğrafi hedefleme göz önüne alındığında bile MirrorFace’in Japonya’ya ve onunla ilgili olaylara odaklanmaya devam ettiğini gösteriyor.”
Earth Kasha olarak da takip edilen MirrorFace’in, Earth Tengshe ve Bronze Starlight olarak takip edilen kümeleri de içeren, APT10 olarak bilinen bir şemsiye grubunun parçası olduğu değerlendiriliyor. En azından 2019’dan bu yana Japon kuruluşlarını hedef almasıyla biliniyor, ancak 2023’ün başlarında gözlemlenen yeni bir kampanya, operasyonlarını Tayvan ve Hindistan’ı da kapsayacak şekilde genişletti.
Yıllar geçtikçe, bilgisayar korsanlığı ekibinin kötü amaçlı yazılım cephaneliği, aşağıdaki gibi arka kapıları içerecek şekilde gelişti: ANEL (diğer adıyla APARKAT), LODEINFO ve NOOPDOOR (diğer adıyla HiddenFace) ve MirrorStealer olarak adlandırılan bir kimlik bilgisi hırsızı.
ESET, The Hacker News’e MirrorFace saldırılarının oldukça hedefli olduğunu ve genellikle “yılda 10’dan az saldırı” görüldüğünü söyledi. Bu izinsiz girişlerin nihai hedefi siber casusluk ve veri hırsızlığıdır. Ancak bu, diplomatik kuruluşların tehdit aktörü tarafından ilk kez hedef alınışı değil.
Slovak siber güvenlik şirketi tarafından tespit edilen son saldırıda kurbana, Microsoft OneDrive’da barındırılan bir ZIP arşivine (“2025.zip’te Japonya’daki EXPO Sergisi”) bağlantı içeren bir hedef odaklı kimlik avı e-postası gönderildi.
 |
| Resim Kaynağı: Trend Micro |
Arşiv dosyası, başlatıldığında sonuçta ANEL ve NOOPDOOR’u dağıtan bir enfeksiyon dizisini tetikleyen bir Windows kısayol dosyası (“2025’te Japonya’daki EXPO Sergisi.docx.lnk”) içeriyordu.
ESET, “ANEL, 2018’in sonu veya 2019’un başında ortadan kayboldu ve LODEINFO’nun bunu başardığına ve 2019’un sonlarında ortaya çıktığına inanılıyordu” dedi. “Bu nedenle ANEL’in neredeyse beş yıl sonra yeniden ortaya çıktığını görmek ilginç.”
Bu gelişme, Flax Typhoon, Granite Typhoon ve Webworm gibi Çin’e bağlı tehdit aktörlerinin kurbanların ağlarına erişimi sürdürmek için giderek daha fazla açık kaynaklı ve çok platformlu SoftEther VPN’e güvendiğinin anlaşılmasıyla ortaya çıktı.
Aynı zamanda Bloomberg’in bir raporunun da ardından geliyor: söz konusu Çin bağlantılı Volt Typhoon, konuyu bilen iki kişiye atıfta bulunarak, telekom şirketlerini ve diğer kritik altyapıyı hedef alan daha geniş bir kampanyanın parçası olarak bir “test çalışması” olarak Singapur Telekomünikasyon’u (Singtel) ihlal etti. Siber saldırı Haziran 2024’te keşfedildi.
ABD’deki AT&T, Verizon ve Lumen Technologies gibi telekomünikasyon ve ağ hizmeti sağlayıcıları da Salt Typhoon (diğer adıyla FamousSparrow ve GhostEmperor) adlı başka bir Çin ulus-devlet düşman kolektifinin hedefi haline geldi.
Bu haftanın başında The Wall Street Journal söz konusu Bilgisayar korsanları, ABD’deki çeşitli üst düzey ulusal güvenlik görevlileri, politika yetkilileri ve politikacılar tarafından kullanılan cep telefonu hatlarını tehlikeye atmak için bu saldırılardan yararlandı. Kampanyanın ayrıca “ABD ile istihbaratı yakından paylaşan” başka bir ülkeye ait iletişim sağlayıcılarına da sızdığı iddia ediliyor.