ROAMINGMOUSE-malware
Een actor die een nationale bedreiging vormt en bekendstaat als MirrorFace, is onlangs in verband gebracht met cyberespionagecampagnes gericht op overheidsinstanties en openbare instellingen in Japan en Taiwan. Deze actor, die verbonden is met China en ook bekendstaat als Earth Kasha, opereert als een subcluster binnen APT10 . In maart 2025 onthulden beveiligingsonderzoekers nieuwe details over de activiteiten van de groep, waaronder hun gebruik van geavanceerde malwaretools voor spionage.
Inhoudsopgave
Operatie AkaiRyū: een eerdere aanval onthuld
Naast de lopende operaties in Japan en Taiwan zat Earth Kasha ook achter Operatie AkaiRyū, een cyberaanval gericht op een diplomatieke organisatie in de Europese Unie in augustus 2024. Deze operatie omvatte de inzet van de ANEL-backdoor, ook wel bekend als UPPERCUT, wat de geavanceerde tactieken van de dader om ongeautoriseerde toegang te verkrijgen tot gevoelige doelen benadrukt.
Aanvalsstrategie: een misleidende keten van malware
De MirrorFace -operatie begint met spearphishing-e-mails, waarvan sommige zijn verzonden vanaf gecompromitteerde legitieme accounts. Deze e-mails bevatten een corrupte Microsoft OneDrive-URL die, wanneer erop wordt geklikt, een ZIP-bestand downloadt. In het ZIP-archief bevinden zich een Excel-document en een macro-enabled dropper met de codenaam ROAMINGMOUSE, die dienen als transportmiddel voor de malware. ROAMINGMOUSE, dat sinds vorig jaar door MirrorFace wordt gebruikt, decodeert en plaatst een extra ZIP-bestand, dat verschillende schadelijke componenten bevat.
Belangrijkste onderdelen van de malware-drop:
- JSLNTOOL.exe, JSTIEE.exe of JSVWMNG.exe: legitieme binaire bestanden
- JSFC.dll (ANELLDR): een kwaadaardige DLL
- Gecodeerde ANEL-payload: de belangrijkste achterdeur
- MSVCR100.dll: een legitieme DLL-afhankelijkheid
Zodra de malware is gedropt, gebruikt deze explorer.exe om een legitiem uitvoerbaar bestand te starten en laadt zo de ANEL-backdoor via de frauduleuze DLL ANELLDR.
Verbeterde functies in ANEL: een nieuw tijdperk van cyberspionage
De ANEL-backdoor die in de campagne van 2025 wordt gebruikt, bevat een belangrijke upgrade: een nieuw commando dat in-memory uitvoering van Beacon Object Files (BOF's) ondersteunt. BOF's zijn kleine C-programma's die zijn ontworpen om de mogelijkheden van de Cobalt Strike- agent uit te breiden en de functies na exploitatie te verbeteren. Na installatie stelt de backdoor Earth Kasha in staat om screenshots te maken, de omgeving van het slachtoffer te onderzoeken en proceslijsten en domeininformatie te verzamelen voor verdere exploitatie.
Gebruikmakend van SharpHide en NOOPDOOR
In sommige gevallen hebben de aanvallers achter Earth Kasha SharpHide, een open-sourcetool, gebruikt om een nieuwe versie van de NOOPDOOR-backdoor (ook bekend als HiddenFace) te lanceren. Deze backdoor is ontworpen om detectie te omzeilen door DNS-over-HTTPS (DoH) te ondersteunen, wat helpt bij het verbergen van de IP-adresopzoekingen die worden gebruikt voor Command-and-Control (C2)-communicatie.
Voortdurende dreiging en waakzaamheid zijn nodig
Earth Kasha blijft een actieve en aanhoudende dreiging die zich richt op waardevolle activa, waaronder gevoelige overheidsgegevens, intellectuele eigendommen en toegangsgegevens. Bedrijven en organisaties, met name in sectoren die verband houden met governance en infrastructuur, moeten robuuste cyberbeveiligingsmaatregelen blijven implementeren om zich te beschermen tegen dergelijke geavanceerde, aanhoudende aanvallen.
