Programe malware ROAMINGMOUSE
Un actor cibernetic de tip stat național cunoscut sub numele de MirrorFace a fost recent asociat cu campanii de spionaj cibernetic care vizează agenții guvernamentale și instituții publice din Japonia și Taiwan. Acest actor, aliat cu China și cunoscut și sub numele de Earth Kasha, operează ca un sub-cluster în cadrul APT10 . Începând cu martie 2025, cercetătorii în domeniul securității au dezvăluit noi detalii despre activitățile grupului, inclusiv utilizarea de instrumente avansate de malware pentru spionaj.
Cuprins
Operațiunea AkaiRyū: Un atac anterior dezvăluit
Pe lângă operațiunile în curs de desfășurare din Japonia și Taiwan, Earth Kasha s-a aflat și în spatele Operațiunii AkaiRyū, un atac cibernetic care a vizat o organizație diplomatică din Uniunea Europeană în august 2024. Această operațiune a implicat desfășurarea backdoor-ului ANEL, cunoscut și sub numele de UPPERCUT, evidențiind tacticile sofisticate ale actorului în obținerea accesului neautorizat la ținte sensibile.
Strategie de atac: Un lanț înșelător de programe malware
Operațiunea MirrorFace începe cu e-mailuri de tip spear-phishing, unele trimise din conturi legitime compromise. Aceste e-mailuri conțin o adresă URL Microsoft OneDrive coruptă, care, odată ce este accesată, descarcă un fișier ZIP. În interiorul arhivei ZIP, un document Excel și un dropper cu macrocomenzi, denumit în cod ROAMINGMOUSE, servesc drept vehicul de livrare pentru malware. ROAMINGMOUSE, utilizat de MirrorFace încă de anul trecut, decodează și elimină un fișier ZIP suplimentar, care conține mai multe componente rău intenționate.
Componente cheie ale depunerii de programe malware:
- JSLNTOOL.exe, JSTIEE.exe sau JSVWMNG.exe: Binare legitime
- JSFC.dll (ANELLDR): O DLL rău intenționată
- Sarcină utilă ANEL criptată: Principala ușă din spate
- MSVCR100.dll: O dependență DLL legitimă
Odată instalat, malware-ul folosește explorer.exe pentru a lansa un executabil legitim, încărcând lateral backdoor-ul ANEL prin DLL-ul fraudulos ANELLDR.
Funcții îmbunătățite în ANEL: O nouă eră a spionajului cibernetic
Backdoor-ul ANEL utilizat în campania din 2025 include o actualizare semnificativă: o nouă comandă care acceptă execuția în memorie a fișierelor Beacon Object Files (BOF). BOF-urile sunt programe C de mici dimensiuni, concepute pentru a extinde capacitățile agentului Cobalt Strike , îmbunătățind funcțiile post-exploatare. Odată instalat, backdoor-ul permite Earth Kasha să facă capturi de ecran, să examineze mediul victimei și să colecteze liste de procese și informații despre domeniu pentru o exploatare ulterioară.
Valorificarea SharpHide și NOOPDOOR
În unele cazuri, actorii din spatele Earth Kasha au utilizat SharpHide, un instrument open-source, pentru a lansa o nouă versiune a backdoor-ului NOOPDOOR (cunoscut și sub numele de HiddenFace). Acest backdoor a fost conceput pentru a evita detectarea prin suportul DNS-over-HTTPS (DoH), care ajută la ascunderea căutărilor de adrese IP utilizate pentru comunicarea Command-and-Control (C2).
Amenințare continuă și vigilență necesare
Earth Kasha rămâne o amenințare activă și persistentă care vizează active de mare valoare, inclusiv date guvernamentale sensibile, proprietate intelectuală și acreditări de acces. Întreprinderile și organizațiile, în special cele din sectoarele legate de guvernanță și infrastructură, trebuie să continue să implementeze măsuri robuste de securitate cibernetică pentru a se proteja împotriva unor astfel de atacuri avansate și persistente.
