بدافزار ROAMINGMOUSE

اخیراً یک عامل تهدید دولتی به نام MirrorFace با کمپین‌های جاسوسی سایبری که سازمان‌های دولتی و مؤسسات عمومی در ژاپن و تایوان را هدف قرار می‌دهند، مرتبط شده است. این عامل، که با چین همسو است و با نام Earth Kasha نیز شناخته می‌شود، به عنوان زیرمجموعه‌ای از APT10 فعالیت می‌کند. از مارس 2025، محققان امنیتی جزئیات جدیدی در مورد فعالیت‌های این گروه، از جمله استفاده آنها از ابزارهای پیشرفته بدافزار برای جاسوسی، فاش کردند.

عملیات آکای‌ریو: یک حمله قبلی کشف شد

علاوه بر عملیات‌های جاری در ژاپن و تایوان، گروه Earth Kasha همچنین پشت عملیات AkaiRyū، یک حمله سایبری با هدف قرار دادن یک سازمان دیپلماتیک در اتحادیه اروپا در آگوست 2024، بوده است. این عملیات شامل استقرار یک در پشتی ANEL، که با نام UPPERCUT نیز شناخته می‌شود، بود که تاکتیک‌های پیچیده این عامل را در دستیابی غیرمجاز به اهداف حساس برجسته می‌کند.

استراتژی حمله: زنجیره‌ای فریبنده از بدافزارها

عملیات MirrorFace با ایمیل‌های فیشینگ هدفمند آغاز می‌شود که برخی از آنها از حساب‌های کاربری قانونیِ آسیب‌پذیر ارسال می‌شوند. این ایمیل‌ها حاوی یک URL خراب مایکروسافت وان‌درایو هستند که پس از کلیک، یک فایل ZIP دانلود می‌شود. در داخل آرشیو ZIP، یک سند اکسل و یک دراپرِ دارای ماکرو با نام رمز ROAMINGMOUSE به عنوان وسیله‌ی انتقال بدافزار عمل می‌کنند. ROAMINGMOUSE که از سال گذشته توسط MirrorFace استفاده می‌شود، یک فایل ZIP اضافی را رمزگشایی و دراپر می‌کند که حاوی چندین مؤلفه‌ی مخرب است.

اجزای کلیدی بدافزار Drop:

• JSLNTOOL.exe، JSTIEE.exe یا JSVWMNG.exe: فایل‌های باینری معتبر
• JSFC.dll (ANELLDR): یک DLL مخرب
• بار داده رمزگذاری شده ANEL: درب پشتی اصلی
• MSVCR100.dll: یک وابستگی DLL قانونی

پس از اجرا، بدافزار از explorer.exe برای اجرای یک فایل اجرایی قانونی استفاده می‌کند و از طریق DLL جعلی، ANELLDR، درب پشتی ANEL را بارگذاری جانبی می‌کند.

ویژگی‌های پیشرفته در ANEL: عصر جدیدی از جاسوسی سایبری

درب پشتی ANEL که در کمپین ۲۰۲۵ استفاده شده است، شامل یک ارتقاء قابل توجه است: یک فرمان جدید که از اجرای درون حافظه‌ای فایل‌های شیء Beacon (BOF) پشتیبانی می‌کند. BOFها برنامه‌های کوچک C هستند که برای گسترش قابلیت‌های عامل Cobalt Strike و بهبود ویژگی‌های پس از بهره‌برداری طراحی شده‌اند. پس از نصب، این درب پشتی Earth Kasha را قادر می‌سازد تا از صفحه نمایش عکس بگیرد، محیط قربانی را بررسی کند و لیست فرآیندها و اطلاعات دامنه را برای بهره‌برداری بیشتر جمع‌آوری کند.

استفاده از SharpHide و NOOPDOOR

در برخی موارد، عوامل تهدید پشت Earth Kasha از SharpHide، یک ابزار متن‌باز، برای راه‌اندازی نسخه جدیدی از درب پشتی NOOPDOOR (که با نام HiddenFace نیز شناخته می‌شود) استفاده کرده‌اند. این درب پشتی برای جلوگیری از شناسایی با پشتیبانی از DNS-over-HTTPS (DoH) طراحی شده است، که به پنهان کردن جستجوی آدرس IP مورد استفاده برای ارتباطات فرماندهی و کنترل (C2) کمک می‌کند.

تهدید مداوم و هوشیاری مورد نیاز

Earth Kasha همچنان یک تهدید فعال و مداوم است که دارایی‌های با ارزش بالا، از جمله داده‌های حساس دولتی، مالکیت معنوی و اعتبارنامه‌های دسترسی را هدف قرار می‌دهد. شرکت‌ها و سازمان‌ها، به ویژه آن‌هایی که در بخش‌های مرتبط با حکومتداری و زیرساخت‌ها فعالیت می‌کنند، باید به اجرای اقدامات قوی امنیت سایبری برای محافظت در برابر چنین حملات پیشرفته و مداومی ادامه دهند.