Il gruppo APT allineato alla Cina ha condotto un’operazione di cyber-spionaggio contro un istituto diplomatico dell’Europa Centrale, segnando il suo primo attacco noto nel continente. L’azione è stata condotta con tecniche avanzate di spearphishing
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno identificato un’operazione di cyber-spionaggio condotta dal gruppo APT MirrorFace, allineato alla Cina, contro un istituto diplomatico dell’Europa centrale sfruttando l’Expo 2025 che si terrà quest’anno a Osaka, in Giappone.
Conosciuto principalmente per le attività di spionaggio informatico ai danni di organizzazioni giapponesi, MirrorFace, sembra aver rivolto per la prima volta la propria attenzione verso un’istituzione diplomatica in Europa. La campagna, scoperta tra il secondo e il terzo trimestre del 2024, è stata denominata Operazione AkaiRyū (in giapponese, Drago Rosso) e ha rivelato un aggiornamento significativo delle tattiche, tecniche e procedure (TTP) del gruppo.
“MirrorFace ha preso di mira un istituto diplomatico dell’Europa centrale. A nostra conoscenza, è la prima e finora unica volta che questo gruppo colpisce un’istituzione diplomatica in Europa,” afferma Dominik Breitenbacher, ricercatore di ESET che ha analizzato la campagna AkaiRyū.
Gli attaccanti di MirrorFace hanno orchestrato un attacco di spearphishing, creando un’email che simulava una precedente interazione legittima tra l’istituto diplomatico e una ONG giapponese. Il messaggio esca sfruttava l’evento Expo 2025 di Osaka, confermando che, nonostante il nuovo focus geografico, MirrorFace continua a concentrarsi su obiettivi legati al Giappone.
Prima di colpire l’istituto diplomatico europeo, il gruppo aveva già preso di mira due dipendenti di un istituto di ricerca giapponese, inviando loro un documento Word malevolo protetto da password, sebbene il metodo di consegna del file rimanga sconosciuto.
Durante l’analisi dell’Operazione AkaiRyū, ESET ha scoperto che MirrorFace ha aggiornato in modo significativo i propri strumenti e le proprie tecniche. Il gruppo ha iniziato a utilizzare ANEL (noto anche come UPPERCUT), una backdoor precedentemente considerata esclusiva di APT10 e ritenuta abbandonata da anni. Tuttavia, le attività più recenti suggeriscono fortemente che il suo sviluppo sia ripreso. ANEL consente l’esecuzione di comandi base per la manipolazione di file, l’esecuzione di payload e la cattura di screenshot.
“L’uso di ANEL fornisce ulteriori elementi nel dibattito in corso sulla possibile connessione tra MirrorFace e APT10. Il fatto che MirrorFace abbia iniziato a utilizzare ANEL, insieme ad altre informazioni già emerse – come la somiglianza negli obiettivi e nel codice dei malware – ci ha portati a rivedere la nostra attribuzione: riteniamo ora che MirrorFace sia un sottogruppo di APT10,” aggiunge Breitenbacher.
Inoltre, MirrorFace ha distribuito una variante altamente personalizzata di AsyncRAT, incorporando questo malware in una catena di esecuzione complessa e recentemente osservata, che lo esegue all’interno di Windows Sandbox. Questo metodo consente di mascherare efficacemente le attività malevole, rendendole difficili da rilevare per i controlli di sicurezza.
Oltre al malware, MirrorFace ha iniziato a sfruttare Visual Studio Code (VS Code) per abusare della funzionalità remote tunnels. Questa tecnica permette al gruppo di stabilire un accesso furtivo al sistema compromesso, eseguire codice arbitrario e distribuire ulteriori strumenti. Infine, MirrorFace ha continuato a utilizzare la sua attuale backdoor di punta, HiddenFace, rafforzando ulteriormente la persistenza sui dispositivi compromessi.
Tra giugno e settembre 2024, ESET ha osservato più campagne di spearphishing condotte da MirrorFace. Secondo i dati raccolti, gli attaccanti hanno ottenuto l’accesso iniziale inducendo le vittime ad aprire allegati o link malevoli, per poi sfruttare applicazioni e strumenti legittimi al fine di installare il malware in modo furtivo. Nell’ambito dell’Operazione AkaiRyū, MirrorFace ha abusato sia di applicazioni sviluppate da McAfee sia di un’applicazione realizzata da JustSystems per eseguire ANEL. Tuttavia, ESET non è riuscita a determinare con certezza il metodo di esportazione dei dati né se e come siano stati esfiltrati.
ESET Research ha collaborato con l’istituto diplomatico dell’Europa centrale colpito dall’attacco, conducendo un’analisi forense approfondita. Questa stretta collaborazione ha permesso di ottenere una visione approfondita delle attività post-compromissione, solitamente difficili da individuare. I risultati dell’analisi sono stati presentati a gennaio 2025 durante la Joint Security Analyst Conference (JSAC).