Un actor de amenazas persistentes avanzadas (APT) de habla china con nombre en código espejocara se ha atribuido a una campaña de spear-phishing dirigida a las instituciones políticas japonesas.
La actividad, denominada Operación Cara Liberal por ESET, enfocado específicamente en miembros de un partido político anónimo en la nación con el objetivo de entregar un implante llamado LODEINFO y un ladrón de credenciales hasta ahora desconocido llamado MirrorStealer.
La empresa de ciberseguridad eslovaca dijo que la campaña se lanzó poco más de una semana antes de la Elección de la Cámara de Consejeros de Japón que tuvo lugar el 10 de julio de 2022.
«LODEINFO se usó para entregar malware adicional, exfiltrar las credenciales de la víctima y robar los documentos y correos electrónicos de la víctima», dijo el investigador de ESET Dominik Breitenbacher. dijo en un informe técnico publicado el miércoles.
Se dice que MirrorFace comparte superposiciones con otro actor de amenazas rastreado como APT10 (también conocido como Bronze Riverside, Cicada, Earth Tengshe, Stone Panda y Potassium) y tiene un historial de empresas y organizaciones en huelga con sede en Japón.
De hecho, un par de informes de Kaspersky en noviembre de 2022 vincularon las infecciones de LODEINFO dirigidas a medios, organizaciones diplomáticas, gubernamentales y del sector público, y grupos de expertos en Japón con Stone Panda.
Sin embargo, ESET dijo que no ha encontrado evidencia para vincular los ataques a un grupo APT previamente conocido, sino que lo rastrea como una entidad independiente. También describió a LODEINFO como una «puerta trasera emblemática» utilizada exclusivamente por MirrorFace.
Los correos electrónicos de spear-phishing, enviados el 29 de junio de 2022, pretendían ser del departamento de relaciones públicas del partido político, instando a los destinatarios a compartir los videos adjuntos en sus propios perfiles de redes sociales para «asegurar la victoria» en las elecciones.
Sin embargo, los videos eran archivos WinRAR autoextraíbles diseñados para implementar LODEINFO en la máquina comprometida, lo que permitía tomar capturas de pantalla, registrar pulsaciones de teclas, eliminar procesos, extraer archivos y ejecutar archivos y comandos adicionales.
También se entregó el capturador de credenciales MirrorStealer que es capaz de saquear contraseñas de navegadores y clientes de correo electrónico como Becky!, que se usa principalmente en Japón.
«Una vez que MirrorStealer recolectó las credenciales y las almacenó en %temp%31558.txt, el operador usó LODEINFO para exfiltrar las credenciales», explicó Breitenbacher, ya que «no tiene la capacidad de exfiltrar los datos robados».
Los ataques utilizaron además un malware LODEINFO de segunda etapa que viene con capacidades para ejecutar archivos binarios y shellcode ejecutables portátiles.
«MirrorFace continúa apuntando a objetivos de alto valor en Japón», dijo ESET. «En la Operación LiberalFace, se centró específicamente en las entidades políticas que aprovechaban las próximas elecciones a la Cámara de Consejeros».