Programari maliciós ROAMINGMOUSE
Un actor d'amenaces d'estat-nació conegut com a MirrorFace ha estat recentment vinculat a campanyes de ciberespionatge dirigides a agències governamentals i institucions públiques del Japó i Taiwan. Aquest actor, alineat amb la Xina i també conegut com a Earth Kasha, opera com un subclúster dins d'APT10 . A partir del març de 2025, investigadors de seguretat van revelar nous detalls sobre les activitats del grup, inclòs el seu ús d'eines avançades de programari maliciós per a l'espionatge.
Taula de continguts
Operació AkaiRyū: Un atac previ descobert
A més de les operacions en curs al Japó i Taiwan, Earth Kasha també va ser la responsable de l'Operació AkaiRyū, un ciberatac dirigit contra una organització diplomàtica de la Unió Europea a l'agost de 2024. Aquesta operació va implicar el desplegament de la porta del darrere ANEL, també coneguda com a UPPERCUT, que posa de manifest les sofisticades tàctiques de l'actor per obtenir accés no autoritzat a objectius sensibles.
Estratègia d’atac: una cadena enganyosa de programari maliciós
L'operació MirrorFace comença amb correus electrònics de spear phishing, alguns enviats des de comptes legítims compromesos. Aquests correus electrònics contenen una URL de Microsoft OneDrive corrupta que, un cop s'hi fa clic, descarrega un fitxer ZIP. Dins de l'arxiu ZIP, un document d'Excel i un dropper habilitat per a macros amb el nom en clau ROAMINGMOUSE serveixen com a vehicle de lliurament del programari maliciós. ROAMINGMOUSE, utilitzat per MirrorFace des de l'any passat, descodifica i elimina un fitxer ZIP addicional, que conté diversos components maliciosos.
Components clau de la gota de programari maliciós:
- JSLNTOOL.exe, JSTIEE.exe o JSVWMNG.exe: Binaris legítims
- JSFC.dll (ANELLDR): Una DLL maliciosa
- Càrrega útil ANEL xifrada: la porta del darrere principal
- MSVCR100.dll: Una dependència legítima de DLL
Un cop instal·lat, el programari maliciós utilitza explorer.exe per iniciar un executable legítim, carregant lateralment la porta del darrere ANEL a través de la DLL fraudulenta ANELLDR.
Funcions millorades a ANEL: una nova era de ciberespionatge
La porta del darrere ANEL utilitzada a la campanya del 2025 inclou una actualització significativa: una nova ordre que admet l'execució en memòria de fitxers d'objectes Beacon (BOF). Els BOF són petits programes en C dissenyats per ampliar les capacitats de l'agent Cobalt Strike , millorant les funcions de postexplotació. Un cop instal·lada, la porta del darrere permet a Earth Kasha fer captures de pantalla, examinar l'entorn de la víctima i recopilar llistes de processos i informació de domini per a una major explotació.
Aprofitant SharpHide i NOOPDOOR
En alguns casos, els actors d'amenaces darrere d'Earth Kasha han utilitzat SharpHide, una eina de codi obert, per llançar una nova versió de la porta del darrere NOOPDOOR (també coneguda com a HiddenFace). Aquesta porta del darrere ha estat dissenyada per evadir la detecció mitjançant el suport de DNS sobre HTTPS (DoH), que ajuda a ocultar les cerques d'adreces IP utilitzades per a la comunicació de Comandament i Control (C2).
Amenaça i vigilància contínues necessàries
Earth Kasha continua sent una amenaça activa i persistent que té com a objectiu actius d'alt valor, com ara dades governamentals sensibles, propietat intel·lectual i credencials d'accés. Les empreses i organitzacions, especialment les dels sectors relacionats amb la governança i la infraestructura, han de continuar implementant mesures de ciberseguretat sòlides per protegir-se contra aquests atacs avançats i persistents.
