Badan Kepolisian Nasional Jepang (NPA) dan Pusat Kesiapan Insiden dan Strategi Keamanan Siber Nasional (NCSC) menuduh aktor ancaman terkait Tiongkok bernama MirrorFace mengatur kampanye serangan terus-menerus yang menargetkan organisasi, bisnis, dan individu di negara tersebut sejak tahun 2019.
Tujuan utama dari kampanye serangan ini adalah untuk mencuri informasi terkait keamanan nasional dan teknologi canggih Jepang, kata badan tersebut.
MirrorFace, juga dilacak sebagai Earth Kasha, dinilai sebagai subgrup dalam APT10. Mereka memiliki rekam jejak menyerang entitas Jepang secara sistematis, sering kali memanfaatkan alat seperti ANEL, LODEINFO, dan NOOPDOOR (alias HiddenFace).
Bulan lalu, Trend Micro mengungkapkan rincian kampanye spear-phishing yang menargetkan individu dan organisasi di Jepang dengan tujuan mengirimkan ANEL dan NOOPDOOR. Kampanye lain yang diamati dalam beberapa tahun terakhir juga ditujukan terhadap Taiwan dan India.
Menurut NPA dan NCSC, serangan yang dilakukan oleh MirrorFace secara umum dikategorikan menjadi tiga kampanye besar –
- Kampanye A (Dari Desember 2019 hingga Juli 2023), menargetkan lembaga think tank, pemerintah, politisi, dan organisasi media yang menggunakan email spear-phishing untuk mengirimkan LODEINFO, NOOPDOOR, dan LilimRAT (versi khusus dari Lilith RAT sumber terbuka)
- Kampanye B (Dari Februari hingga Oktober 2023), menargetkan sektor semikonduktor, manufaktur, komunikasi, akademik, dan kedirgantaraan dengan mengeksploitasi kerentanan yang diketahui pada perangkat Array Networks, Citrix, dan Fortinet yang terhubung ke internet untuk menerobos jaringan guna menghadirkan Cobalt Strike Beacon, LODEINFO, dan NOOPDOOR
- Kampanye C (Mulai Juni 2024), menargetkan akademisi, lembaga think tank, politisi, dan organisasi media menggunakan email spear-phishing untuk mengirimkan ANEL (alias UPPERCUT)
Serangan ini juga ditandai dengan penggunaan terowongan jarak jauh Visual Studio Code untuk membangun koneksi rahasia, sehingga memungkinkan pelaku ancaman untuk melewati pertahanan jaringan dan mengontrol sistem yang disusupi dari jarak jauh.
Badan-badan tersebut juga mencatat bahwa mereka mengamati contoh di mana penyerang secara diam-diam mengeksekusi muatan berbahaya yang disimpan di komputer host dalam Windows Sandbox dan telah berkomunikasi dengan server perintah dan kontrol setidaknya sejak Juni 2023.
“Metode ini memungkinkan malware dieksekusi tanpa dipantau oleh perangkat lunak antivirus atau EDR di komputer host, dan ketika komputer host dimatikan atau dihidupkan ulang, jejak di Windows Sandbox akan terhapus, sehingga bukti tidak tertinggal,” NPA dan NCSC berkata.
