Pemburu ancaman telah menjelaskan lebih banyak kampanye malware yang diungkapkan sebelumnya yang dilakukan oleh aktor ancaman mirrorface yang selaras Cina yang menargetkan organisasi diplomatik di Uni Eropa dengan pintu belakang yang dikenal sebagai Anel.
Serangan itu, terdeteksi oleh ESET pada akhir Agustus 2024, memilih lembaga diplomatik Eropa Tengah dengan umpan yang terkait dengan Word Expo, yang dijadwalkan dimulai di Osaka, Jepang, bulan depan.
Kegiatan ini telah diberi nama kode operasi Akairyū (Jepang untuk Reddragon). Aktif sejak setidaknya 2019, Mirrorface juga disebut sebagai Bumi Kasha. Ini dinilai menjadi subkelompok dalam payung APT10.
Sementara dikenal karena penargetan eksklusif entitas Jepang, serangan aktor ancaman terhadap organisasi Eropa menandai keberangkatan dari jejak korban khasnya.
Bukan itu saja. Intrusi juga penting untuk menggunakan varian Asyncrat dan Anel (alias Uppercut) yang sangat disesuaikan, sebuah pintu belakang yang sebelumnya terkait dengan APT10.
Penggunaan ANEL signifikan bukan hanya karena menyoroti pergeseran dari LodeInfo tetapi juga kembalinya pintu belakang setelah dihentikan sekitar akhir 2018 atau awal 2019.
“Sayangnya, kami tidak mengetahui alasan khusus untuk mirrorface untuk beralih dari menggunakan lodeinfo ke anel,” peneliti ESET Dominik Breitenbacher mengatakan kepada Hacker News. “Namun, kami tidak mengamati lodeinfo yang digunakan sepanjang seluruh 2024 dan sejauh ini, kami belum melihatnya digunakan pada tahun 2025 juga. Oleh karena itu, mirrorface beralih ke anel dan lodeinfo yang ditinggalkan untuk saat ini.”
Perusahaan Cybersecurity Slovakia juga mencatat bahwa Operasi Akairyū tumpang tindih dengan Kampanye C yang didokumentasikan oleh Badan Kepolisian Nasional (NPA) Jepang dan Pusat Kesiapan Insiden dan Strategi Nasional untuk Cybersecurity (NCSC) awal Januari ini.
Perubahan besar lainnya termasuk penggunaan versi yang dimodifikasi dari asyncrat dan visual studio remote terowongan untuk membangun akses diam -diam ke mesin yang dikompromikan, yang terakhir telah menjadi taktik yang semakin disukai oleh beberapa kelompok peretasan Cina.
Rantai serangan melibatkan penggunaan umpan phishing tombak untuk membujuk penerima untuk membuka dokumen atau tautan yang terjebak booby yang meluncurkan komponen loader bernama Anelldr melalui pemuatan samping DLL yang kemudian mendekripsi dan memuat anel. Juga dijatuhkan adalah pintu belakang modular bernama Hiddenface (alias noopdoor) yang hanya digunakan oleh Mirrorface.
“Namun, masih ada banyak potongan teka -teki yang hilang untuk menggambar lengkap kegiatan,” kata Eset. “Salah satu alasannya adalah peningkatan keamanan operasional Mirrorface, yang telah menjadi lebih teliti dan menghambat investigasi insiden dengan menghapus alat dan file yang dikirim, membersihkan log acara Windows, dan menjalankan malware di Windows Sandbox.”
