ROAMINGMOUSE 惡意軟體

一個名為 MirrorFace 的國家威脅行為者最近被發現與針對日本和台灣政府機構和公共機構的網路間諜活動有關。該組織與中國結盟，也被稱為 Earth Kasha，是APT10的一個子集群。截至 2025 年 3 月，安全研究人員揭露了有關該組織活動的新細節，包括他們使用先進的惡意軟體工具進行間諜活動。

赤龍行動：先前的攻擊事件被揭露

除了在日本和台灣正在進行的行動外，Earth Kasha 還參與了 2024 年 8 月針對歐盟外交組織的網路攻擊「赤龍行動」。此行動涉及部署 ANEL 後門（也稱為 UPPERCUT），凸顯了攻擊者在未經授權存取敏感目標方面的精妙手段。

攻擊策略：惡意軟體的欺騙鏈

MirrorFace行動始於魚叉式網路釣魚電子郵件，其中一些是從受感染的合法帳戶發送的。這些電子郵件包含損壞的 Microsoft OneDrive URL，一旦點擊就會下載 ZIP 檔案。在 ZIP 檔案中，一個 Excel 文件和一個代號為 ROAMINGMOUSE 的巨集啟用植入器作為惡意軟體的傳送工具。 ROAMINGMOUSE 自去年以來被 MirrorFace 使用，它會解碼並刪除一個額外的 ZIP 文件，其中包含多個惡意元件。

惡意軟體Drop的關鍵元件：

• JSLNTOOL.exe、JSTIEE.exe 或 JSVWMNG.exe：合法二進位檔案
• JSFC.dll（ANELLDR）：惡意 DLL
• 加密的 ANEL 酬載：主要後門
• MSVCR100.dll：合法的 DLL 依賴項

一旦植入，惡意軟體就會使用 explorer.exe 啟動合法的可執行文件，並透過欺詐性 DLL ANELLDR 側載 ANEL 後門。

《ANEL：網路間諜新時代》中的增強功能

2025 年活動中使用的 ANEL 後門包含一個重大升級：一個支援在記憶體中執行 Beacon 物件檔案 (BOF) 的新命令。 BOF 是小型 C 程序，旨在擴展Cobalt Strike代理的功能，增強後利用功能。一旦安裝，後門就會使 Earth Kasha 能夠截取螢幕截圖、檢查受害者的環境並收集進程清單和網域資訊以供進一步利用。

利用 SharpHide 和 NOOPDOOR

在某些情況下，Earth Kasha 背後的威脅行為者利用開源工具 SharpHide 來啟動 NOOPDOOR 後門（也稱為 HiddenFace）的新版本。此後門旨在透過支援 DNS-over-HTTPS (DoH) 來逃避偵測，這有助於隱藏用於命令和控制 (C2) 通訊的 IP 位址查找。

持續的威脅和警覺是必要的

Earth Kasha 仍然是一個活躍且持續的威脅，目標是高價值資產，包括敏感的政府資料、智慧財產權和存取憑證。企業和組織，特別是與治理和基礎設施相關的領域的企業和組織，必須繼續實施強有力的網路安全措施，以防範這種先進、持續的攻擊。