MirrorFace aprovecha ANEL y NOOPDOOR en ciberataques de varios años en Japón

09 de enero de 2025Ravie LakshmananCiberseguridad / Malware

La Agencia Nacional de Policía (NPA) de Japón y el Centro Nacional de Preparación para Incidentes y Estrategia para la Ciberseguridad (NCSC) acusaron a un actor de amenazas vinculado a China llamado MirrorFace de orquestar una campaña de ataque persistente dirigida a organizaciones, empresas e individuos en el país desde 2019.

El objetivo principal de la campaña de ataque es robar información relacionada con la seguridad nacional y la tecnología avanzada de Japón, dijeron las agencias. dicho.

MirrorFace, también rastreado como Earth Kasha, se considera un subgrupo dentro de APT10. Tiene un historial de atacar sistemáticamente a entidades japonesas, a menudo aprovechando herramientas como ANEL, LODEINFO y NOOPDOOR (también conocido como HiddenFace).

El mes pasado, Trend Micro reveló detalles de una campaña de phishing dirigida a personas y organizaciones en Japón con el objetivo de ofrecer ANEL y NOOPDOOR. Otras campañas observadas en los últimos años también han estado dirigidas contra Taiwán y la India.

Según NPA y NCSC, los ataques organizados por MirrorFace se han clasificado en términos generales en tres campañas principales:

• Campaña A (De diciembre de 2019 a julio de 2023), dirigido a grupos de expertos, gobiernos, políticos y organizaciones de medios que utilizan correos electrónicos de phishing para entregar LODEINFO, NOOPDOOR y LilimRAT (una versión personalizada del código abierto Lilith RATA)
• Campaña B (De febrero a octubre de 2023), dirigido a los sectores de semiconductores, fabricación, comunicaciones, académico y aeroespacial mediante la explotación de vulnerabilidades conocidas en dispositivos Array Networks, Citrix y Fortinet con acceso a Internet para violar redes y entregar Cobalt Strike Beacon, LODEINFO y NOOPDOOR.
• Campaña C (A partir de junio de 2024), dirigido al mundo académico, grupos de expertos, políticos y organizaciones de medios que utilizan correos electrónicos de phishing para entregar ANEL.

Las agencias también señalaron que observaron casos en los que los atacantes ejecutaron sigilosamente las cargas maliciosas almacenadas en la computadora host dentro de Windows Sandbox y se comunicaron con un servidor de comando y control desde al menos junio de 2023.

“Este método permite ejecutar malware sin ser monitoreado por software antivirus o EDR en la computadora host, y cuando la computadora host se apaga o reinicia, los rastros en el Sandbox de Windows se borran, por lo que no quedan pruebas”, señala la NPA. y NCSC dijo.