L’acteur menaçant aligné sur la Chine, connu sous le nom de MirrorFace, a été observé en train de cibler une organisation diplomatique dans l’Union européenne, c’est la première fois que l’équipe de piratage cible une entité dans la région.
“Lors de cette attaque, l’auteur de la menace a utilisé comme leurre la prochaine Exposition universelle, qui se tiendra en 2025 à Osaka, au Japon”, a déclaré ESET. dit dans son rapport d’activité de l’APT pour la période avril à septembre 2024.
“Cela montre que même en considérant ce nouveau ciblage géographique, MirrorFace reste concentré sur le Japon et les événements qui y sont liés.”
MirrorFace, également suivi sous le nom de Earth Kasha, fait partie d’un groupe parapluie connu sous le nom d’APT10, qui comprend également des clusters suivis sous le nom de Earth Tengshe et Bronze Starlight. Il est connu pour cibler les organisations japonaises au moins depuis 2019, bien qu’une nouvelle campagne observée début 2023 ait élargi ses opérations pour inclure Taiwan et l’Inde.
Au fil des années, l’arsenal de logiciels malveillants de l’équipe de piratage a évolué pour inclure des portes dérobées telles que ANEL (alias UPPERCUT), LODEINFO et NOOPDOOR (alias HiddenFace), ainsi qu’un voleur d’informations d’identification appelé MirrorStealer.
ESET a déclaré à The Hacker News que les attaques MirrorFace sont très ciblées et qu’il y a généralement « moins de 10 attaques par an ». Le but final de ces intrusions est le cyberespionnage et le vol de données. Cela dit, ce n’est pas la première fois que des organisations diplomatiques sont ciblées par des acteurs menaçants.
Lors de la dernière attaque détectée par la société de cybersécurité slovaque, la victime a reçu un e-mail de spear phishing contenant un lien vers une archive ZIP (« L’exposition EXPO au Japon en 2025.zip ») hébergée sur Microsoft OneDrive.
 |
| Source de l’image : Tendance Micro |
Le fichier d’archive comprenait un fichier de raccourci Windows (« L’exposition EXPO au Japon en 2025.docx.lnk ») qui, une fois lancé, a déclenché une séquence d’infection qui a finalement déployé ANEL et NOOPDOOR.
“ANEL a disparu de la scène vers la fin de 2018 ou le début de 2019, et on pensait que LODEINFO lui avait succédé, apparaissant plus tard en 2019”, a indiqué ESET. “Il est donc intéressant de voir l’ANEL refaire surface après presque cinq ans.”
Cette évolution intervient alors que les acteurs malveillants affiliés à la Chine, comme Flax Typhoon, Granite Typhoon et Webworm, s’appuient de plus en plus sur le VPN open source et multiplateforme SoftEther pour maintenir l’accès aux réseaux des victimes.
Cela fait également suite à un rapport de Bloomberg selon lequel dit le Volt Typhoon, lié à la Chine, a violé Singapore Telecommunications (Singtel) à titre de « test » dans le cadre d’une campagne plus large ciblant les entreprises de télécommunications et d’autres infrastructures critiques, citant deux personnes proches du dossier. La cyber-intrusion a été découverte en juin 2024.
Les fournisseurs de services de télécommunications et de réseaux aux États-Unis, comme AT&T, Verizon et Lumen Technologies, sont également devenus la cible d’un autre collectif adversaire d’États-nations chinois appelé Salt Typhoon (alias FamousSparrow et GhostEmperor).
Plus tôt cette semaine, le Wall Street Journal dit les pirates ont exploité ces attaques pour compromettre les lignes téléphoniques portables utilisées par divers hauts responsables de la sécurité nationale, des responsables politiques et des hommes politiques aux États-Unis. La campagne aurait également infiltré des fournisseurs de communications appartenant à un autre pays qui « partage étroitement des renseignements avec les États-Unis ».