ROAMINGMOUSE Malware
Isang nation-state threat actor na kilala bilang MirrorFace ay na-link kamakailan sa mga cyber espionage campaign na nagta-target sa mga ahensya ng gobyerno at pampublikong institusyon sa Japan at Taiwan. Ang aktor na ito, na nakahanay sa China at kilala rin bilang Earth Kasha, ay gumagana bilang isang sub-cluster sa loob ng APT10 . Noong Marso 2025, ang mga mananaliksik sa seguridad ay nagpahayag ng mga bagong detalye tungkol sa mga aktibidad ng grupo, kabilang ang kanilang paggamit ng mga advanced na tool sa malware para sa espionage.
Talaan ng mga Nilalaman
Operation AkaiRyū: Natuklasan ang Nakaraang Pag-atake
Bilang karagdagan sa mga patuloy na operasyon sa Japan at Taiwan, ang Earth Kasha ay nasa likod din ng Operation AkaiRyū, isang cyber attack na naglalayon sa isang diplomatikong organisasyon sa European Union noong Agosto 2024. Kasama sa operasyong ito ang pag-deploy ng ANEL backdoor, na kilala rin bilang UPPERCUT, na nagha-highlight sa mga sopistikadong taktika ng aktor sa pagkakaroon ng hindi awtorisadong pag-access sa sensitibong target.
Diskarte sa Pag-atake: Isang Mapanlinlang na Kadena ng Malware
Ang operasyon ng MirrorFace ay nagsisimula sa spear-phishing na mga email, ang ilan ay ipinadala mula sa nakompromisong mga lehitimong account. Naglalaman ang mga email na ito ng sirang URL ng Microsoft OneDrive na, kapag na-click, nagda-download ng ZIP file. Sa loob ng ZIP archive, isang Excel na dokumento at isang macro-enabled na dropper na may codenaming ROAMINGMOUSE ang nagsisilbing sasakyan sa paghahatid para sa malware. Ang ROAMINGMOUSE, na ginamit ng MirrorFace mula noong nakaraang taon, ay nagde-decode at nag-drop ng karagdagang ZIP file, na naglalaman ng ilang malisyosong bahagi.
Mga Pangunahing Bahagi ng Malware Drop:
- JSLNTOOL.exe, JSTIEE.exe, o JSVWMNG.exe: Mga lehitimong binary
- JSFC.dll (ANELLDR): Isang nakakahamak na DLL
- Naka-encrypt na ANEL Payload: Ang pangunahing backdoor
- MSVCR100.dll: Isang lehitimong DLL dependency
Kapag nahulog na, gumagamit ang malware ng explorer.exe para maglunsad ng isang lehitimong executable, na nag-sideload sa ANEL backdoor sa pamamagitan ng mapanlinlang na DLL, ANELLDR.
Pinahusay na Mga Tampok sa ANEL: Isang Bagong Era ng Cyber Espionage
Ang ANEL backdoor na ginamit sa 2025 campaign ay may kasamang makabuluhang upgrade: isang bagong command na sumusuporta sa in-memory execution ng Beacon Object Files (BOFs). Ang mga BOF ay maliliit na programang C na idinisenyo upang palawigin ang mga kakayahan ng ahente ng Cobalt Strike , na nagpapahusay sa mga tampok pagkatapos ng pagsasamantala. Kapag na-install na, binibigyang-daan ng backdoor ang Earth Kasha na kumuha ng mga screenshot, suriin ang kapaligiran ng biktima, at mangalap ng mga listahan ng proseso at impormasyon ng domain para sa karagdagang pagsasamantala.
Paggamit ng SharpHide at NOOPDOOR
Sa ilang pagkakataon, ginamit ng mga banta sa likod ng Earth Kasha ang SharpHide, isang open-source na tool, upang maglunsad ng bagong bersyon ng NOOPDOOR backdoor (kilala rin bilang HiddenFace). Ang backdoor na ito ay idinisenyo upang maiwasan ang pagtuklas sa pamamagitan ng pagsuporta sa DNS-over-HTTPS (DoH), na tumutulong na itago ang mga IP address lookup na ginagamit para sa Command-and-Control (C2) na komunikasyon.
Kailangan ang Patuloy na Banta at Pagpupuyat
Ang Earth Kasha ay nananatiling aktibo at patuloy na banta na nagta-target sa mga asset na may mataas na halaga, kabilang ang sensitibong data ng gobyerno, intelektwal na ari-arian, at mga kredensyal sa pag-access. Ang mga negosyo at organisasyon, lalo na ang mga nasa sektor na nauugnay sa pamamahala at imprastraktura, ay dapat na patuloy na magpatupad ng matatag na mga hakbang sa cybersecurity upang magbantay laban sa mga ganoong advanced, patuloy na pag-atake.
