ROAMINGMOUSE Malware
Um agente de ameaça estatal conhecido como MirrorFace foi recentemente associado a campanhas de espionagem cibernética visando agências governamentais e instituições públicas no Japão e em Taiwan. Esse agente, alinhado à China e também conhecido como Earth Kasha, opera como um subgrupo dentro do APT10. Em março de 2025, pesquisadores de segurança revelaram novos detalhes sobre as atividades do grupo, incluindo o uso de ferramentas avançadas de malware para espionagem.
Índice
Operação AkaiRyū: Um Ataque Anterior Descoberto
Além das operações em andamento no Japão e em Taiwan, a Earth Kasha também estava por trás da Operação AkaiRyū, um ataque cibernético direcionado a uma organização diplomática na União Europeia em agosto de 2024. Essa operação envolveu a implantação do backdoor ANEL, também conhecido como UPPERCUT, destacando as táticas sofisticadas do agente para obter acesso não autorizado a alvos sensíveis.
A Estratégia de Ataque: Uma Cadeia Enganosa de Malware
A operação MirrorFace começa com e-mails de spear-phishing, alguns enviados de contas legítimas comprometidas. Esses e-mails contêm uma URL corrompida do Microsoft OneDrive que, ao ser clicada, baixa um arquivo ZIP. Dentro do arquivo ZIP, um documento do Excel e um dropper habilitado para macros, codinome ROAMINGMOUSE, servem como veículo de entrega do malware. O ROAMINGMOUSE, usado pelo MirrorFace desde o ano passado, decodifica e instala um arquivo ZIP adicional, que contém vários componentes maliciosos.
Principais componentes do Malware Drop:
- JSLNTOOL.exe, JSTIEE.exe ou JSVWMNG.exe: binários legítimos
- JSFC.dll (ANELLDR): Uma DLL maliciosa
- Carga útil ANEL criptografada: o principal backdoor
- MSVCR100.dll: Uma dependência legítima de DLL
Uma vez instalado, o malware usa o explorer.exe para iniciar um executável legítimo, carregando o backdoor ANEL por meio da DLL fraudulenta, ANELLDR.
Recursos Aprimorados no ANEL: Uma Nova Era de Espionagem Cibernética
O backdoor ANEL usado na campanha de 2025 inclui uma atualização significativa: um novo comando que suporta a execução em memória de Arquivos de Objeto Beacon (BOFs). BOFs são pequenos programas em C projetados para estender as capacidades do agente Cobalt Strike, aprimorando os recursos pós-exploração. Uma vez instalado, o backdoor permite que o Earth Kasha faça capturas de tela, examine o ambiente da vítima e colete listas de processos e informações de domínio para exploração posterior.
Aproveitando o SharpHide e o NOOPDOOR
Em alguns casos, os agentes de ameaças por trás do Earth Kasha utilizaram o SharpHide, uma ferramenta de código aberto, para lançar uma nova versão do backdoor NOOPDOOR (também conhecido como HiddenFace). Este backdoor foi projetado para evitar a detecção, oferecendo suporte a DNS sobre HTTPS (DoH), que ajuda a ocultar as pesquisas de endereço IP usadas para comunicação de Comando e Controle (C2).
Ameaça e Vigilância Contínuas Necessárias
O Earth Kasha continua sendo uma ameaça ativa e persistente, visando ativos de alto valor, incluindo dados governamentais sensíveis, propriedade intelectual e credenciais de acesso. Empresas e organizações, especialmente aquelas em setores relacionados à governança e infraestrutura, devem continuar a implementar medidas robustas de segurança cibernética para se proteger contra esses ataques avançados e persistentes.
