El actor de amenaza de estado naci\u00f3n conocido como Reflejo<\/strong> se ha observado desplegar malware denominado Roamingmouse como parte de una campa\u00f1a de ciber espionaje dirigida contra agencias gubernamentales e instituciones p\u00fablicas en Jap\u00f3n y Taiw\u00e1n.<\/p>\n La actividad, detectada por Trend Micro en marzo de 2025, implic\u00f3 el uso de se\u00f1uelos de phishing de lanza para entregar una versi\u00f3n actualizada de una puerta trasera llamada Anel.<\/p>\n “El archivo ANEL de la campa\u00f1a de 2025 discutido en este blog implement\u00f3 un nuevo comando para admitir una ejecuci\u00f3n de BOF (archivo de objetos Beacon) en la memoria”, la investigadora de seguridad Hara Hiroaki dicho<\/a>. “Esta campa\u00f1a tambi\u00e9n potencialmente apalancada Sharphide<\/a> Para lanzar la segunda etapa de puerta trasera Noopdoor “.<\/p>\n El actor de amenaza alineado en China, tambi\u00e9n conocido como Earth Kasha, se eval\u00faa como un subgrupo dentro de Apt10. En marzo de 2025, ESET arroj\u00f3 luz sobre una campa\u00f1a denominada Operaci\u00f3n Akairy\u016b que se dirigi\u00f3 a una organizaci\u00f3n diplom\u00e1tica en la Uni\u00f3n Europea en agosto de 2024 con Anel (tambi\u00e9n conocido como Uppercut).<\/p>\n La orientaci\u00f3n de varias entidades japonesas y taiwanesas apunta a una expansi\u00f3n continua de su huella, mientras el equipo de pirater\u00eda busca realizar robo de informaci\u00f3n. Avanzar en sus objetivos estrat\u00e9gicos<\/a>.<\/p>\n El ataque comienza con un correo electr\u00f3nico de phishing de lanza, algunos de los cuales se env\u00edan desde cuentas leg\u00edtimas pero comprometidas, que contiene una URL OneDrive de Microsoft incrustada, que, a su vez, descarga un archivo zip.<\/p>\n El archivo ZIP incluye un documento de Excel con malware y un RoamingMouse RoamingMouse con nombre en c\u00f3digo macro que sirve como un conducto para entregar componentes relacionados con ANEL. Vale la pena se\u00f1alar que RoamingMouse ha sido utilizado por Mirrorface desde el a\u00f1o pasado.<\/p>\n “Roamingmouse luego decodifica el archivo zip incrustado usando Base64, deja caer la cremallera en un disco y expande sus componentes”, dijo Hiroaki. Esto incluye –<\/p>\n El objetivo final de la cadena de ataque es lanzar el ejecutable leg\u00edtimo usando Explorer.exe y luego usarlo para colocar la DLL maliciosa, en este caso, Anelldr, que es responsable de descifrar y lanzar la puerta trasera de Anel.<\/p>\n Lo notable del artefacto de ANEL utilizado en la campa\u00f1a 2025 es la adici\u00f3n de un nuevo comando para admitir la ejecuci\u00f3n en memoria de Archivos de objetos de baliza<\/a> (Bofs<\/a>), que se compilan en programas C dise\u00f1ados para extender el agente de huelga de Cobalt con nuevas funciones de explotaci\u00f3n posterior.<\/p>\n “Despu\u00e9s de instalar el archivo ANEL, los actores detr\u00e1s de Earth Kasha obtuvieron capturas de pantalla utilizando un comando de puerta trasera y examinaron el entorno de la v\u00edctima”, explic\u00f3 Trend Micro. “El adversario parece investigar a la v\u00edctima mirando a trav\u00e9s de capturas de pantalla, ejecutando listas de procesos e informaci\u00f3n de dominio”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Mirrorface-se-dirige-a-Japon-y-Taiwan-con-Roamingmouse-y.jpg\")
<\/a><\/center><\/div>\n\n