Исследователи компании ESET обнаружили кибершпионскую деятельность группы MirrorFace, связанной с Китаем, которая впервые нацелилась на дипломатический институт Центральной Европы в связи с выставкой Expo 2025 в Японии.
Описание
Названная операция "AkaiRyū" представляет собой обновленные тактики и инструменты, такие как бэкдор ANEL и адаптированный AsyncRAT, используемые для взлома Windows Sandbox. Исследование результатов произведено совместно с пострадавшим институтом, а презентация проведена на конференции Joint Security Analyst Conference (JSAC) в январе 2025 года.
MirrorFace, также известная как Earth Kasha, действует с 2019 года, нацелена на различные секторы, включая СМИ, оборонные компании, финансовые учреждения и дипломатические организации, использует уникальные бэкдоры LODEINFO и HiddenFace. В ходе операции 2024 года, MirrorFace добавила в свои тактики использование старого бэкдора APT10 - ANEL, что вызвало дебаты в сообществе о связи MirrorFace и APT10.
Анализ операции "AkaiRyū" показал, что MirrorFace активно обновляет свои методы и инструментарий, используя ANEL и AsyncRAT, а также внедряя код в Visual Studio Code. MirrorFace вернулась к использованию ANEL, ранее связанного с APT10, что указывает на возможную принадлежность MirrorFace к группе APT10. Это изменение атрибуции подтверждается также другими исследователями, включая Macnica, Kaspersky и Cybereason. MirrorFace продолжает активность в Японии, но также расширяется на другие регионы, вызывая настороженность в сфере кибербезопасности.
Индикаторы компрометации
IPv4
- 104.233.167.135
- 152.42.202.137
- 208.85.18.4
- 45.32.116.146
- 64.176.56.26
Onion Domains
- u4mrhg3y6jyfw2dmm2wnocz3g3etp2xc5thzx77uelk7mrk7qtjmc6qd.onion
- vu4fleh3yd4ehpfpciinnwbnh4b77rdeypubhqr2dgfibjtvxpdxozid.onion
SHA1
- 018944fc47ee2329b23b74da31b19e57373ff539
- 02d32978543b9dd1303e5b020f52d24d5eaba52e
- 1afdce38af37b9452fb4ac35de9fcecd5629b891
- 233029813051d20b61d057ec4a56337e9bec40d2
- 2fb3b8099499fee03ea7064812645ac781afd502
- 68b72da59467b1bb477d0c1c5107cee8d9078e7e
- 694b1dd3187e876c5743a0e0b83334dbd18ac9eb
- 8361f7dbf81093928da54e3cbc11a0fcc2eeb55a
- 875dc27963f8679e7d8bf53a7e69966523bc36bc
- 9b2b9a49f52b37927e6a9f4d6ddb180be8169c5f
- ab65c08da16a45565dba930069b5fc5a56806a4c
- d2c25af9ee6e60a341b0c93dd97566fb532bfbe8
- e3da9467d0c89a9312ea199ecc83cddf3607d8b1
- f5ba545d4a16836756989a3ab32f3f6c5d5ad8ff