
Los cazadores de amenazas han arrojado más luz sobre una campaña de malware previamente revelada realizada por el actor de amenaza de espejo alineado por China que atacó a una organización diplomática en la Unión Europea con una puerta trasera conocida como Anel.
El ataque, detectado por ESET a fines de agosto de 2024, destacó un instituto diplomático de Europa Central con señuelos relacionados con Expo de palabrasque está programado para comenzar en Osaka, Japón, el próximo mes.
La actividad ha sido nombrada en código Operación Akairyū (Japonés para Reddragon). Activo desde al menos 2019, Mirrorface también se conoce como Earth Kasha. Se evalúa que es un subgrupo dentro del paraguas APT10.
Si bien es conocido por su focalización exclusiva de entidades japonesas, el ataque del actor de amenaza contra una organización europea marca una desviación de su típica huella de victimología.
Eso no es todo. La intrusión también es notable por implementar una variante muy personalizada de Asyncrat y ANEL (también conocido como Uppercut), una puerta trasera previamente vinculada a Apt10.
El uso de ANEL es significativo no solo porque resalta un cambio de Lodeinfo sino también el regreso de la puerta trasera después de que se suspendió en algún momento a fines de 2018 o principios de 2019.
“Desafortunadamente, no somos conscientes de ninguna razón particular para que Mirrorface cambie de usar LodeInfo a Anel”, dijo el investigador de ESET Dominik Breitenbacher a The Hacker News. “Sin embargo, no observamos que LodeInfo se use durante todo el 2024 y hasta ahora, no hemos visto que se use en 2025 también. Por lo tanto, parece que Mirrorface cambió a Anel y LodeInfo abandonado por ahora”.
La compañía de ciberseguridad eslovacas también señaló que la Operación Akairyū se superpone con la Campaña C que fue documentada por la Agencia Nacional de Policía (NPA) y el Centro Nacional de Preparación y Estrategia de Incidentes para la Ciberseguridad (NCSC) a principios de enero.
Otros cambios importantes incluyen el uso de una versión modificada de Asyncrat y Visual Studio Code Túneles remotos para establecer un acceso sigiloso a las máquinas comprometidas, la última de las cuales se ha convertido en una táctica cada vez más favorecida por múltiples grupos de piratería chinos.
Las cadenas de ataque implican el uso de señuelos de phishing de lanza para persuadir a los destinatarios de la apertura de documentos o enlaces atrapados en tope que lanzan un componente de cargador llamado Anelldr a través de la carga lateral DLL que luego descifra y carga Anel. También se ha caído una puerta trasera modular llamada Hiddenface (también conocida como Noopdoor) que solo usa Mirrorface.
“Sin embargo, todavía faltan muchas piezas del rompecabezas para dibujar una imagen completa de las actividades”, dijo Eset. “Una de las razones es la seguridad operativa mejorada de Mirrorface, que se ha vuelto más exhaustiva y dificulta las investigaciones de incidentes al eliminar las herramientas y archivos entregados, borrar registros de eventos de Windows y ejecutar malware en Windows Sandbox”.






