Malware ROAMINGMOUSE
Un gruppo di minacce di stato-nazione noto come MirrorFace è stato recentemente collegato a campagne di spionaggio informatico contro agenzie governative e istituzioni pubbliche in Giappone e Taiwan. Questo gruppo, affiliato alla Cina e noto anche come Earth Kasha, opera come sotto-cluster all'interno di APT10 . A marzo 2025, i ricercatori di sicurezza hanno rivelato nuovi dettagli sulle attività del gruppo, incluso l'utilizzo di strumenti malware avanzati a scopo di spionaggio.
Sommario
Operazione AkaiRyū: scoperto un attacco precedente
Oltre alle operazioni in corso in Giappone e Taiwan, Earth Kasha era anche dietro l'Operazione AkaiRyū, un attacco informatico mirato a un'organizzazione diplomatica nell'Unione Europea nell'agosto 2024. Questa operazione ha comportato l'impiego della backdoor ANEL, nota anche come UPPERCUT, evidenziando le sofisticate tattiche dell'autore per ottenere accesso non autorizzato a obiettivi sensibili.
Strategia di attacco: una catena ingannevole di malware
L'operazione MirrorFace inizia con email di spear-phishing, alcune delle quali inviate da account legittimi compromessi. Queste email contengono un URL corrotto di Microsoft OneDrive che, una volta cliccato, scarica un file ZIP. All'interno dell'archivio ZIP, un documento Excel e un dropper con macro, nome in codice ROAMINGMOUSE, fungono da veicolo di distribuzione del malware. ROAMINGMOUSE, utilizzato da MirrorFace dallo scorso anno, decodifica e rilascia un ulteriore file ZIP, contenente diversi componenti dannosi.
Componenti chiave del Malware Drop:
- JSLNTOOL.exe, JSTIEE.exe o JSVWMNG.exe: file binari legittimi
- JSFC.dll (ANELLDR): una DLL dannosa
- Payload ANEL crittografato: la backdoor principale
- MSVCR100.dll: una dipendenza DLL legittima
Una volta eliminato, il malware utilizza explorer.exe per avviare un eseguibile legittimo, effettuando il sideload della backdoor ANEL tramite la DLL fraudolenta ANELLDR.
Funzionalità avanzate in ANEL: una nuova era di spionaggio informatico
La backdoor ANEL utilizzata nella campagna del 2025 include un aggiornamento significativo: un nuovo comando che supporta l'esecuzione in memoria di file oggetto Beacon (BOF). I BOF sono piccoli programmi in C progettati per estendere le capacità dell'agente Cobalt Strike , migliorandone le funzionalità post-sfruttamento. Una volta installata, la backdoor consente a Earth Kasha di acquisire screenshot, esaminare l'ambiente della vittima e raccogliere elenchi di processi e informazioni sul dominio per ulteriori exploit.
Sfruttando SharpHide e NOOPDOOR
In alcuni casi, gli autori della minaccia dietro Earth Kasha hanno utilizzato SharpHide, uno strumento open source, per lanciare una nuova versione della backdoor NOOPDOOR (nota anche come HiddenFace). Questa backdoor è stata progettata per eludere il rilevamento supportando DNS-over-HTTPS (DoH), che aiuta a nascondere le ricerche degli indirizzi IP utilizzate per le comunicazioni di Comando e Controllo (C2).
Minaccia continua e vigilanza necessarie
Earth Kasha rimane una minaccia attiva e persistente che colpisce asset di alto valore, inclusi dati governativi sensibili, proprietà intellettuale e credenziali di accesso. Imprese e organizzazioni, in particolare quelle nei settori legati alla governance e alle infrastrutture, devono continuare a implementare solide misure di sicurezza informatica per proteggersi da questi attacchi avanzati e persistenti.
