Aktor ancaman negara-bangsa yang dikenal sebagai Mirrorface telah diamati menggunakan malware yang dijuluki Roamingmouse sebagai bagian dari kampanye spionase dunia maya yang diarahkan terhadap lembaga pemerintah dan lembaga publik di Jepang dan Taiwan.
Kegiatan tersebut, terdeteksi oleh tren mikro pada bulan Maret 2025, melibatkan penggunaan umpan phishing tombak untuk memberikan versi terbaru dari pintu belakang bernama Anel.
“File ANEL dari kampanye 2025 yang dibahas di blog ini menerapkan perintah baru untuk mendukung eksekusi BOF (file objek Beacon) dalam memori,” kata peneliti keamanan Hara Hiroaki. “Kampanye ini juga berpotensi memanfaatkan Sharphide untuk meluncurkan backdoor noopdoor tahap kedua.”
Aktor ancaman yang selaras di Cina, juga dikenal sebagai Bumi Kasha, dinilai sebagai sub-cluster dalam APT10. Pada bulan Maret 2025, ESET menjelaskan kampanye yang disebut sebagai Operasi Akairyū yang menargetkan organisasi diplomatik di Uni Eropa pada Agustus 2024 dengan Anel (alias Uppercut).
Penargetan berbagai entitas Jepang dan Taiwan menunjuk pada perluasan jejak mereka yang berkelanjutan, karena kru peretasan berusaha melakukan pencurian informasi untuk memajukan tujuan strategis mereka.
Serangan dimulai dengan email phishing tombak-beberapa di antaranya dikirim dari akun yang sah-tetapi-kompromi-yang berisi URL Microsoft OneDrive tertanam, yang, pada gilirannya, mengunduh file zip.
ZIP Archive mencakup dokumen Excel yang dilacak malware, dan roamingmouse codened yang diaktifkan makro yang berfungsi sebagai saluran untuk mengirimkan komponen yang terkait dengan ANEL. Perlu dicatat bahwa Roamingmouse telah digunakan oleh Mirrorface sejak tahun lalu.
“Roamingmouse kemudian memecahkan kode file zip tertanam dengan menggunakan base64, menjatuhkan zip pada disk, dan memperluas komponennya,” kata Hiroaki. Ini termasuk –
- Jslntool.exe, jstiee.exe, atau jsvwmng.exe (biner yang sah)
- Jsfc.dll (anelldr)
- Payload Anel Terenkripsi
- Msvcr100.dll (ketergantungan DLL yang sah dari yang dapat dieksekusi)
Tujuan akhir dari rantai serangan adalah untuk meluncurkan yang dapat dieksekusi yang sah menggunakan Explorer.exe dan kemudian menggunakannya untuk mengidap DLL jahat, dalam hal ini, Anelldr, yang bertanggung jawab untuk mendekripsi dan meluncurkan Anel Backdoor.
Apa yang terkenal tentang artefak ANEL yang digunakan dalam kampanye 2025 adalah penambahan perintah baru untuk mendukung eksekusi dalam memori File Objek Beacon (BOFS), yang dikompilasi program C yang dirancang untuk memperluas agen pemogokan Cobalt dengan fitur pasca eksploitasi baru.
“Setelah memasang file ANEL, aktor di belakang Bumi Kasha memperoleh tangkapan layar menggunakan perintah backdoor dan memeriksa lingkungan korban,” Trend Micro menjelaskan. “Musuh tampaknya menyelidiki korban dengan melihat melalui tangkapan layar, daftar proses proses, dan informasi domain.”
Contoh pilih juga telah memanfaatkan alat open-source bernama Sharphide untuk meluncurkan versi baru NOOPDOOR (alias Hiddenface), pintu belakang lain yang sebelumnya diidentifikasi seperti yang digunakan oleh grup peretasan. Implan, untuk bagiannya, mendukung DNS-over-HTTPS (DOH) untuk menyembunyikan pencarian alamat IP selama operasi perintah-dan-kontrol (C2).
“Bumi Kasha terus menjadi ancaman gigih yang aktif dan sekarang menargetkan lembaga pemerintah dan lembaga publik di Taiwan dan Jepang dalam kampanye terbarunya yang kami terdeteksi pada Maret 2025,” kata Hiroaki.
“Perusahaan dan organisasi, terutama mereka yang memiliki aset bernilai tinggi seperti data sensitif yang berkaitan dengan tata kelola, serta kekayaan intelektual, data infrastruktur, dan mengakses kredensial harus terus waspada dan menerapkan langkah-langkah keamanan proaktif untuk mencegah penurunan korban serangan cyber.”
