Investigadores da ESET detetaram atividades de ciberespionagem realizadas pelo grupo MirrorFace, alinhado com a China, contra um instituto diplomático da Europa Central no contexto da World Expo 2025, que será realizada este ano em Osaka, no Japão.
Conhecido principalmente pelas suas atividades de ciberespionagem contra organizações no Japão, tanto quanto a ESET conseguiu determinar esta é a primeira vez que o MirrorFace mostra intenção de se infiltrar numa entidade europeia. A campanha foi descoberta no segundo e terceiro trimestre de 2024 e denominada Operação AkaiRyū (japonês para RedDragon) pela ESET; ela mostra TTPs (Técnicas, Táticas e Procedimentos) atualizados que a ESET observou ao longo do ano passado.
“O MirrorFace teve como alvo um instituto diplomático da Europa Central. Tanto quanto sabemos, esta é a primeira e, até à data, a única vez que o MirrorFace tem como alvo uma entidade na Europa”, afirma o investigador da ESET Dominik Breitenbacher, que investigou a campanha AkaiRyū.
Os operadores do MirrorFace prepararam o seu ataque de spearphishing (phishing direcionado) criando um email que faz referência a uma interação anterior e legítima entre o instituto e uma ONG japonesa. Durante este ataque, o grupo utilizou a próxima World Expo 2025 – a realizar em Osaka, no Japão – como isco. Isto mostra ainda que, mesmo considerando este novo alvo geográfico mais alargado, o MirrorFace continua concentrado no Japão e em eventos com ele relacionados.
Antes do ataque ao instituto diplomático europeu, o MirrorFace visou dois funcionários de um instituto de investigação japonês, utilizando um documento Word malicioso e protegido por palavra-passe, entregue de forma desconhecida.
Durante a análise da Operação AkaiRyū, a ESET descobriu que o MirrorFace atualizou significativamente os seus TTPs e ferramentas. O MirrorFace começou a usar o ANEL (também conhecido como UPPERCUT) – uma backdoor considerada exclusiva do grupo APT10 – que se acreditava ter sido abandonada há anos; no entanto, a atividade mais recente sugere que o desenvolvimento do ANEL foi reiniciado. O ANEL suporta comandos básicos para manipulação de ficheiros, execução de payloads e captura de imagens de ecrã.
“A utilização do ANEL também fornece mais provas no debate em curso sobre a potencial ligação entre o MirrorFace e o APT10. O facto de o MirrorFace ter começado a utilizar o ANEL, juntamente com outras informações previamente identificadas, como a semelhança de alvos e de código de malware, levou-nos a alterar a nossa atribuição: acreditamos agora que o MirrorFace é um subgrupo do APT10”, acrescenta Breitenbacher.
Além disso, o MirrorFace implantou uma variante altamente personalizada do AsyncRAT, incorporando este malware numa cadeia de execução intrincada e recém-observada que executa o RAT (trojan de acesso remoto) dentro da Windows Sandbox. Este método esconde eficazmente as atividades maliciosas das capacidades de controlos de segurança para detetar a infeção.
Paralelamente ao malware, o MirrorFace também começou a implementar o Visual Studio Code (VS Code) para abusar da sua funcionalidade de túneis remotos. Os túneis remotos permitem ao MirrorFace estabelecer um acesso furtivo à máquina comprometida, executar código arbitrário e implantar outras ferramentas. Finalmente, o MirrorFace continuou a empregar a sua atual backdoor principal, HiddenFace, reforçando ainda mais a persistência em máquinas comprometidas.
Entre junho e setembro de 2024, a ESET observou o MirrorFace a conduzir várias campanhas de spearphishing. Com base nos dados da ESET, os atacantes obtiveram acesso inicial principalmente enganando os alvos para que abrissem anexos ou links maliciosos e, em seguida, aproveitaram aplicações e ferramentas legítimas para instalar furtivamente o seu malware. Especificamente, na Operação AkaiRyū, o MirrorFace abusou de aplicações desenvolvidas pela McAfee e também de uma desenvolvida pela JustSystems para executar o ANEL.
A ESET colaborou com o instituto diplomático da Europa Central afetado e realizou uma investigação forense. A estreita colaboração com a organização afetada proporcionou uma visão rara e profunda das atividades pós-comprometimento que, de outra forma, não teriam sido vistas. A ESET apresentou os resultados desta análise na Joint Security Analyst Conference (JSAC) em janeiro de 2025.
