Phần mềm độc hại ROAMINGMOUSE

Một tác nhân đe dọa quốc gia được gọi là MirrorFace gần đây đã được liên kết với các chiến dịch gián điệp mạng nhắm vào các cơ quan chính phủ và các tổ chức công tại Nhật Bản và Đài Loan. Tác nhân này, liên kết với Trung Quốc và còn được gọi là Earth Kasha, hoạt động như một nhóm phụ trong APT10 . Tính đến tháng 3 năm 2025, các nhà nghiên cứu bảo mật đã tiết lộ các chi tiết mới về hoạt động của nhóm, bao gồm việc sử dụng các công cụ phần mềm độc hại tiên tiến để do thám.

Chiến dịch AkaiRyū: Một cuộc tấn công trước đó được phát hiện

Ngoài các hoạt động đang diễn ra ở Nhật Bản và Đài Loan, Earth Kasha còn đứng sau Chiến dịch AkaiRyū, một cuộc tấn công mạng nhằm vào một tổ chức ngoại giao tại Liên minh Châu Âu vào tháng 8 năm 2024. Chiến dịch này liên quan đến việc triển khai cửa hậu ANEL, còn được gọi là UPPERCUT, làm nổi bật các chiến thuật tinh vi của tin tặc trong việc truy cập trái phép vào các mục tiêu nhạy cảm.

Chiến lược tấn công: Một chuỗi phần mềm độc hại lừa đảo

Chiến dịch MirrorFace bắt đầu bằng các email lừa đảo, một số được gửi từ các tài khoản hợp pháp bị xâm phạm. Các email này chứa URL Microsoft OneDrive bị hỏng, khi nhấp vào, sẽ tải xuống tệp ZIP. Bên trong tệp ZIP, một tài liệu Excel và một trình thả hỗ trợ macro có tên mã là ROAMINGMOUSE đóng vai trò là phương tiện phân phối phần mềm độc hại. ROAMINGMOUSE, được MirrorFace sử dụng từ năm ngoái, giải mã và thả một tệp ZIP bổ sung, chứa một số thành phần độc hại.

Các thành phần chính của Malware Drop:

• JSLNTOOL.exe, JSTIEE.exe hoặc JSVWMNG.exe: Các tệp nhị phân hợp lệ
• JSFC.dll (ANELLDR): Một DLL độc hại
• Tải trọng ANEL được mã hóa: Cửa sau chính
• MSVCR100.dll: Một phụ thuộc DLL hợp lệ

Sau khi được thả, phần mềm độc hại sẽ sử dụng explorer.exe để khởi chạy một chương trình thực thi hợp pháp, tải backdoor ANEL thông qua DLL gian lận ANELLDR.

Các tính năng nâng cao trong ANEL: Kỷ nguyên mới của gián điệp mạng

Cửa hậu ANEL được sử dụng trong chiến dịch 2025 bao gồm một bản nâng cấp đáng kể: một lệnh mới hỗ trợ thực thi trong bộ nhớ của Beacon Object Files (BOF). BOF là các chương trình C nhỏ được thiết kế để mở rộng khả năng của tác nhân Cobalt Strike , tăng cường các tính năng sau khi khai thác. Sau khi cài đặt, cửa hậu cho phép Earth Kasha chụp ảnh màn hình, kiểm tra môi trường của nạn nhân và thu thập danh sách quy trình và thông tin miền để khai thác thêm.

Tận dụng SharpHide và NOOPDOOR

Trong một số trường hợp, những kẻ đe dọa đứng sau Earth Kasha đã sử dụng SharpHide, một công cụ mã nguồn mở, để khởi chạy phiên bản mới của backdoor NOOPDOOR (còn được gọi là HiddenFace). Backdoor này được thiết kế để tránh bị phát hiện bằng cách hỗ trợ DNS-over-HTTPS (DoH), giúp che giấu các tìm kiếm địa chỉ IP được sử dụng cho giao tiếp Command-and-Control (C2).

Mối đe dọa đang diễn ra và cần phải cảnh giác

Earth Kasha vẫn là mối đe dọa tích cực và dai dẳng nhắm vào các tài sản có giá trị cao, bao gồm dữ liệu nhạy cảm của chính phủ, sở hữu trí tuệ và thông tin đăng nhập. Các doanh nghiệp và tổ chức, đặc biệt là những doanh nghiệp trong các lĩnh vực liên quan đến quản trị và cơ sở hạ tầng, phải tiếp tục triển khai các biện pháp an ninh mạng mạnh mẽ để bảo vệ chống lại các cuộc tấn công tiên tiến, dai dẳng như vậy.