18 mars 2025Ravie LakshmananCyber-espionnage / malware

Les chasseurs de menaces ont fait la lumière sur une campagne de logiciels malveillants divulguée précédemment entreprise par l’acteur de menace Mirrorface aligné par la Chine qui ciblait une organisation diplomatique dans l’Union européenne avec une porte dérobée connue sous le nom d’ANEL.

L’attaque, détectée par ESET fin août 2024, a distingué un institut diplomatique d’Europe central avec des leurres liés à Exposition de motsqui devrait débuter à Osaka, au Japon, le mois prochain.

L’activité a été nommée Opération Akairyū (Japonais pour reddragon). Actif depuis au moins 2019, Mirrorface est également appelé Earth Kasha. Il est évalué comme un sous-groupe dans le parapluie APT10.

Cybersécurité

Bien que connu pour son ciblage exclusif d’entités japonaises, l’attaque de l’acteur de menace contre une organisation européenne marque un écart de son empreinte de victime typique.

Ce n’est pas tout. L’intrusion est également remarquable pour déployer une variante fortement personnalisée d’Asyncrat et Anel (AKA Uppercut), une porte dérobée précédemment liée à l’APT10.

L’utilisation d’Anel est significative non seulement parce qu’elle met en évidence un passage de Lodeinfo mais aussi le retour de la porte dérobée après avoir été interrompu à la fin de 2018 ou au début de 2019.

“Malheureusement, nous ne connaissons aucune raison particulière pour que Mirrorface passe de l’utilisation de Lodeinfo à Anel”, a déclaré le chercheur de l’ESET, Dominik Breitenbacher, au Hacker News. “Cependant, nous n’avons pas observé que Lodeinfo était utilisé tout au long de 2024 et jusqu’à présent, nous ne l’avons pas vu également en 2025. Par conséquent, il semble que Mirrorface est passée à AEL et abandonnée Lodeinfo pour l’instant.”

Anel et asyncrat

La société de cybersécurité slovaque a également noté que l’opération Akairyū chevauche la campagne C qui a été documentée par l’agence nationale de police (NPA) du Japon et le Centre national de préparation aux incidents et de stratégie pour la cybersécurité (NCSC) plus tôt en janvier.

Les autres modifications majeures incluent l’utilisation d’une version modifiée des tunnels distants du code Asyncrat et Visual Studio pour établir un accès furtif aux machines compromises, ce dernier dont est devenue une tactique de plus en plus favorisée par plusieurs groupes de piratage chinois.

Cybersécurité

Les chaînes d’attaque impliquent l’utilisation de leurres de phishing de lance pour persuader les destinataires dans des documents ou des liens piégés ou des liens qui lancent un composant de chargeur nommé ANELLDR via un chargement latéral DLL qui décrypte et charge Anel. Également abandonné est une porte dérobée modulaire nommée HiddenFace (aka NOOPDOOR) qui n’est utilisée que par Mirrorface.

“Cependant, il y a encore beaucoup de pièces manquantes du puzzle pour dessiner une image complète des activités”, a déclaré Eset. “L’une des raisons est l’amélioration de la sécurité opérationnelle de Mirrorface, qui est devenue plus approfondie et entrave les enquêtes incidentes en supprimant les outils et fichiers livrés, en nettoyant les journaux d’événements Windows et en exécutant des logiciels malveillants dans Windows Sandbox.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57