Исследователи обнаружили активность MirrorFace, которая вышла за рамки привычного фокуса на Японии

security

Исследователи компании ESET обнаружили кибершпионскую деятельность группы MirrorFace, связанной с Китаем, которая впервые нацелилась на дипломатический институт Центральной Европы в связи с выставкой Expo 2025 в Японии.

Описание

Названная операция "AkaiRyū" представляет собой обновленные тактики и инструменты, такие как бэкдор ANEL и адаптированный AsyncRAT, используемые для взлома Windows Sandbox. Исследование результатов произведено совместно с пострадавшим институтом, а презентация проведена на конференции Joint Security Analyst Conference (JSAC) в январе 2025 года.

MirrorFace, также известная как Earth Kasha, действует с 2019 года, нацелена на различные секторы, включая СМИ, оборонные компании, финансовые учреждения и дипломатические организации, использует уникальные бэкдоры LODEINFO и HiddenFace. В ходе операции 2024 года, MirrorFace добавила в свои тактики использование старого бэкдора APT10 - ANEL, что вызвало дебаты в сообществе о связи MirrorFace и APT10.

Анализ операции "AkaiRyū" показал, что MirrorFace активно обновляет свои методы и инструментарий, используя ANEL и AsyncRAT, а также внедряя код в Visual Studio Code. MirrorFace вернулась к использованию ANEL, ранее связанного с APT10, что указывает на возможную принадлежность MirrorFace к группе APT10. Это изменение атрибуции подтверждается также другими исследователями, включая Macnica, Kaspersky и Cybereason. MirrorFace продолжает активность в Японии, но также расширяется на другие регионы, вызывая настороженность в сфере кибербезопасности.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Onion Domains
  3. SHA1

IPv4

  • 104.233.167.135
  • 152.42.202.137
  • 208.85.18.4
  • 45.32.116.146
  • 64.176.56.26

Onion Domains

  • u4mrhg3y6jyfw2dmm2wnocz3g3etp2xc5thzx77uelk7mrk7qtjmc6qd.onion
  • vu4fleh3yd4ehpfpciinnwbnh4b77rdeypubhqr2dgfibjtvxpdxozid.onion

SHA1

  • 018944fc47ee2329b23b74da31b19e57373ff539
  • 02d32978543b9dd1303e5b020f52d24d5eaba52e
  • 1afdce38af37b9452fb4ac35de9fcecd5629b891
  • 233029813051d20b61d057ec4a56337e9bec40d2
  • 2fb3b8099499fee03ea7064812645ac781afd502
  • 68b72da59467b1bb477d0c1c5107cee8d9078e7e
  • 694b1dd3187e876c5743a0e0b83334dbd18ac9eb
  • 8361f7dbf81093928da54e3cbc11a0fcc2eeb55a
  • 875dc27963f8679e7d8bf53a7e69966523bc36bc
  • 9b2b9a49f52b37927e6a9f4d6ddb180be8169c5f
  • ab65c08da16a45565dba930069b5fc5a56806a4c
  • d2c25af9ee6e60a341b0c93dd97566fb532bfbe8
  • e3da9467d0c89a9312ea199ecc83cddf3607d8b1
  • f5ba545d4a16836756989a3ab32f3f6c5d5ad8ff
Комментарии: 0