{"id":1585471,"date":"2025-03-19T02:04:42","date_gmt":"2025-03-19T04:04:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/mirrorface-liee-a-la-chine-deploie-anel-et-asyncrat-dans-une-nouvelle-operation-de-cyber-espionnage\/"},"modified":"2025-03-19T02:04:47","modified_gmt":"2025-03-19T04:04:47","slug":"mirrorface-liee-a-la-chine-deploie-anel-et-asyncrat-dans-une-nouvelle-operation-de-cyber-espionnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/mirrorface-liee-a-la-chine-deploie-anel-et-asyncrat-dans-une-nouvelle-operation-de-cyber-espionnage\/","title":{"rendered":"Mirrorface li\u00e9e \u00e0 la Chine d\u00e9ploie Anel et Asyncrat dans une nouvelle op\u00e9ration de cyber-espionnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyber-espionnage \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mirrorface-liee-a-la-Chine-deploie-Anel-et-Asyncrat-dans.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chasseurs de menaces ont fait la lumi\u00e8re sur une campagne de logiciels malveillants divulgu\u00e9e pr\u00e9c\u00e9demment entreprise par l&#8217;acteur de menace Mirrorface align\u00e9 par la Chine qui ciblait une organisation diplomatique dans l&#8217;Union europ\u00e9enne avec une porte d\u00e9rob\u00e9e connue sous le nom d&#8217;ANEL.<\/p>\n<p>L&#8217;attaque, d\u00e9tect\u00e9e par ESET fin ao\u00fbt 2024, a distingu\u00e9 un institut diplomatique d&#8217;Europe central avec des leurres li\u00e9s \u00e0 <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Expo_2025\" target=\"_blank\">Exposition de mots<\/a>qui devrait d\u00e9buter \u00e0 Osaka, au Japon, le mois prochain.<\/p>\n<p>L&#8217;activit\u00e9 a \u00e9t\u00e9 nomm\u00e9e <a rel=\"noopener nofollow\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/operation-akairyu-mirrorface-invites-europe-expo-2025-revives-anel-backdoor\/\" target=\"_blank\">Op\u00e9ration Akairy\u016b<\/a> (Japonais pour reddragon). Actif depuis au moins 2019, Mirrorface est \u00e9galement appel\u00e9 Earth Kasha. Il est \u00e9valu\u00e9 comme un sous-groupe dans le parapluie APT10.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Bien que connu pour son ciblage exclusif d&#8217;entit\u00e9s japonaises, l&#8217;attaque de l&#8217;acteur de menace contre une organisation europ\u00e9enne marque un \u00e9cart de son empreinte de victime typique.<\/p>\n<p>Ce n&#8217;est pas tout. L&#8217;intrusion est \u00e9galement remarquable pour d\u00e9ployer une variante fortement personnalis\u00e9e d&#8217;Asyncrat et Anel (AKA Uppercut), une porte d\u00e9rob\u00e9e pr\u00e9c\u00e9demment li\u00e9e \u00e0 l&#8217;APT10.<\/p>\n<p>L&#8217;utilisation d&#8217;Anel est significative non seulement parce qu&#8217;elle met en \u00e9vidence un passage de Lodeinfo mais aussi le retour de la porte d\u00e9rob\u00e9e apr\u00e8s avoir \u00e9t\u00e9 interrompu \u00e0 la fin de 2018 ou au d\u00e9but de 2019.<\/p>\n<p>&#8220;Malheureusement, nous ne connaissons aucune raison particuli\u00e8re pour que Mirrorface passe de l&#8217;utilisation de Lodeinfo \u00e0 Anel&#8221;, a d\u00e9clar\u00e9 le chercheur de l&#8217;ESET, Dominik Breitenbacher, au Hacker News. &#8220;Cependant, nous n&#8217;avons pas observ\u00e9 que Lodeinfo \u00e9tait utilis\u00e9 tout au long de 2024 et jusqu&#8217;\u00e0 pr\u00e9sent, nous ne l&#8217;avons pas vu \u00e9galement en 2025. Par cons\u00e9quent, il semble que Mirrorface est pass\u00e9e \u00e0 AEL et abandonn\u00e9e Lodeinfo pour l&#8217;instant.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742357080_59_Mirrorface-liee-a-la-Chine-deploie-Anel-et-Asyncrat-dans.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742357080_59_Mirrorface-liee-a-la-Chine-deploie-Anel-et-Asyncrat-dans.png\" alt=\"Anel et asyncrat\" border=\"0\" data-original-height=\"1239\" data-original-width=\"2000\" title=\"Anel et asyncrat\"\/><\/a><\/div>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 slovaque a \u00e9galement not\u00e9 que l&#8217;op\u00e9ration Akairy\u016b chevauche la campagne C qui a \u00e9t\u00e9 document\u00e9e par l&#8217;agence nationale de police (NPA) du Japon et le Centre national de pr\u00e9paration aux incidents et de strat\u00e9gie pour la cybers\u00e9curit\u00e9 (NCSC) plus t\u00f4t en janvier.<\/p>\n<p>Les autres modifications majeures incluent l&#8217;utilisation d&#8217;une version modifi\u00e9e des tunnels distants du code Asyncrat et Visual Studio pour \u00e9tablir un acc\u00e8s furtif aux machines compromises, ce dernier dont est devenue une tactique de plus en plus favoris\u00e9e par plusieurs groupes de piratage chinois. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les cha\u00eenes d&#8217;attaque impliquent l&#8217;utilisation de leurres de phishing de lance pour persuader les destinataires dans des documents ou des liens pi\u00e9g\u00e9s ou des liens qui lancent un composant de chargeur nomm\u00e9 ANELLDR via un chargement lat\u00e9ral DLL qui d\u00e9crypte et charge Anel. \u00c9galement abandonn\u00e9 est une porte d\u00e9rob\u00e9e modulaire nomm\u00e9e HiddenFace (aka NOOPDOOR) qui n&#8217;est utilis\u00e9e que par Mirrorface.<\/p>\n<p>&#8220;Cependant, il y a encore beaucoup de pi\u00e8ces manquantes du puzzle pour dessiner une image compl\u00e8te des activit\u00e9s&#8221;, a d\u00e9clar\u00e9 Eset. &#8220;L&#8217;une des raisons est l&#8217;am\u00e9lioration de la s\u00e9curit\u00e9 op\u00e9rationnelle de Mirrorface, qui est devenue plus approfondie et entrave les enqu\u00eates incidentes en supprimant les outils et fichiers livr\u00e9s, en nettoyant les journaux d&#8217;\u00e9v\u00e9nements Windows et en ex\u00e9cutant des logiciels malveillants dans Windows Sandbox.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/china-linked-mirrorface-deploys-anel.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 mars 2025\ue804Ravie LakshmananCyber-espionnage \/ malware Les chasseurs de menaces ont fait la lumi\u00e8re sur une campagne de logiciels malveillants divulgu\u00e9e pr\u00e9c\u00e9demment entreprise par l&#8217;acteur de menace Mirrorface align\u00e9 par la Chine qui ciblait une organisation diplomatique dans l&#8217;Union europ\u00e9enne avec une porte d\u00e9rob\u00e9e connue sous le nom d&#8217;ANEL. L&#8217;attaque, d\u00e9tect\u00e9e par ESET fin ao\u00fbt [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1585472,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,266566,175127,109,4168,79002,274264,4161,274263,6124,77840,429,7050,12748,274267,132290,4160,197,385,238617,246491,4172,79016,196,4166,4164],"class_list":["post-1585471","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-anel","tag-asyncrat","tag-chine","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-cyberespionnage","tag-dans","tag-deploie","tag-liee","tag-malware-ransomware","tag-mirrorface","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-operation","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1585471","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1585471"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1585471\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1585472"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1585471"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1585471"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1585471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}