Se dice que MirrorFace comparte superposiciones con otro actor de amenazas rastreado como APT10 (tambi\u00e9n conocido como Bronze Riverside, Cicada, Earth Tengshe, Stone Panda y Potassium) y tiene un historial de empresas y organizaciones en huelga con sede en Jap\u00f3n.<\/p>\n
De hecho, un par de informes de Kaspersky en noviembre de 2022 vincularon las infecciones de LODEINFO dirigidas a medios, organizaciones diplom\u00e1ticas, gubernamentales y del sector p\u00fablico, y grupos de expertos en Jap\u00f3n con Stone Panda.<\/p>\n
![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671114497_217_Investigadores-descubren-ataques-ciberneticos-MirrorFace-dirigidos-a-entidades-politicas-japonesas.png\" "\\"Ataques")
<\/div>\n
Sin embargo, ESET dijo que no ha encontrado evidencia para vincular los ataques a un grupo APT previamente conocido, sino que lo rastrea como una entidad independiente. Tambi\u00e9n describi\u00f3 a LODEINFO como una “puerta trasera emblem\u00e1tica” utilizada exclusivamente por MirrorFace.<\/p>\n
Los correos electr\u00f3nicos de spear-phishing, enviados el 29 de junio de 2022, pretend\u00edan ser del departamento de relaciones p\u00fablicas del partido pol\u00edtico, instando a los destinatarios a compartir los videos adjuntos en sus propios perfiles de redes sociales para “asegurar la victoria” en las elecciones.<\/p>\n
Sin embargo, los videos eran archivos WinRAR autoextra\u00edbles dise\u00f1ados para implementar LODEINFO en la m\u00e1quina comprometida, lo que permit\u00eda tomar capturas de pantalla, registrar pulsaciones de teclas, eliminar procesos, extraer archivos y ejecutar archivos y comandos adicionales.<\/p>\n
Tambi\u00e9n se entreg\u00f3 el capturador de credenciales MirrorStealer que es capaz de saquear contrase\u00f1as de navegadores y clientes de correo electr\u00f3nico como Becky!, que se usa principalmente en Jap\u00f3n.<\/p>\n
“Una vez que MirrorStealer recolect\u00f3 las credenciales y las almacen\u00f3 en %temp%31558.txt, el operador us\u00f3 LODEINFO para exfiltrar las credenciales”, explic\u00f3 Breitenbacher, ya que “no tiene la capacidad de exfiltrar los datos robados”.<\/p>\n
Los ataques utilizaron adem\u00e1s un malware LODEINFO de segunda etapa que viene con capacidades para ejecutar archivos binarios y shellcode ejecutables port\u00e1tiles.<\/p>\n
“MirrorFace contin\u00faa apuntando a objetivos de alto valor en Jap\u00f3n”, dijo ESET. “En la Operaci\u00f3n LiberalFace, se centr\u00f3 espec\u00edficamente en las entidades pol\u00edticas que aprovechaban las pr\u00f3ximas elecciones a la C\u00e1mara de Consejeros”.<\/p>\n
<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades.png\")
<\/a><\/center><\/div>\n