ROAMINGMOUSE 恶意软件

一个名为“MirrorFace”的民族国家威胁行为体最近被指与针对日本和台湾政府机构和公共机构的网络间谍活动有关。该行为体与中国结盟，又名“Earth Kasha”，是APT10 的一个子集群。截至 2025 年 3 月，安全研究人员披露了有关该组织活动的新细节，包括他们使用高级恶意软件工具进行间谍活动。

赤龙行动：先前的袭击事件被揭露

除了在日本和台湾正在进行的行动外，Earth Kasha 还参与了 2024 年 8 月针对欧盟外交组织的网络攻击“赤龙行动”。此次行动涉及部署 ANEL 后门（也称为 UPPERCUT），凸显了攻击者在未经授权访问敏感目标方面的复杂手段。

攻击策略：恶意软件的欺骗链

MirrorFace 的行动始于鱼叉式网络钓鱼电子邮件，其中一些来自被入侵的合法账户。这些电子邮件包含一个损坏的 Microsoft OneDrive URL，点击后会下载一个 ZIP 文件。ZIP 压缩包内包含一个 Excel 文档和一个代号为 ROAMINGMOUSE 的宏植入程序，作为恶意软件的传播载体。MirrorFace 自去年以来一直使用的 ROAMINGMOUSE 会解码并植入另一个包含多个恶意组件的 ZIP 文件。

恶意软件Drop的关键组件：

• JSLNTOOL.exe、JSTIEE.exe 或 JSVWMNG.exe：合法二进制文件
• JSFC.dll（ANELLDR）：恶意 DLL
• 加密的 ANEL 有效载荷：主要后门
• MSVCR100.dll：合法的 DLL 依赖项

一旦被植入，恶意软件就会使用 explorer.exe 启动合法的可执行文件，并通过欺诈性 DLL ANELLDR 侧载 ANEL 后门。

《ANEL：网络间谍新时代》中的增强功能

2025 年活动中使用的 ANEL 后门包含一项重大升级：新增了一个支持在内存中执行 Beacon 对象文件 (BOF) 的命令。BOF 是小型 C 语言程序，旨在扩展Cobalt Strike代理的功能，增强后利用功能。安装后，Earth Kasha 可以利用该后门截取屏幕截图、检查受害者环境，并收集进程列表和域信息以供进一步利用。

利用 SharpHide 和 NOOPDOOR

在某些情况下，Earth Kasha 背后的威胁行为者利用开源工具 SharpHide 启动了 NOOPDOOR 后门（也称为 HiddenFace）的新版本。该后门旨在通过支持 DNS-over-HTTPS (DoH) 来逃避检测，这有助于隐藏用于命令与控制 (C2) 通信的 IP 地址查找。

持续的威胁和警惕是必要的

Earth Kasha 仍然是一个活跃且持续的威胁，其目标是高价值资产，包括敏感的政府数据、知识产权和访问凭证。企业和组织，尤其是与治理和基础设施相关的行业，必须继续实施强有力的网络安全措施，以防范此类高级且持续的攻击。