Aktor ancaman yang bersekutu dengan Tiongkok yang dikenal sebagai MirrorFace telah diamati menargetkan sebuah organisasi diplomatik di Uni Eropa, menandai pertama kalinya kelompok peretas menargetkan sebuah entitas di wilayah tersebut.
“Selama serangan ini, pelaku ancaman digunakan sebagai iming-iming World Expo mendatang, yang akan diadakan pada tahun 2025 di Osaka, Jepang,” demikian pernyataan ESET dalam Laporan Aktivitas APT periode April hingga September 2024.
“Ini menunjukkan bahwa meskipun dengan penargetan geografis baru ini, MirrorFace tetap fokus pada Jepang dan acara-acara yang terkait dengannya.”
MirrorFace, juga dilacak sebagai Earth Kasha, dinilai menjadi bagian dari grup payung yang dikenal sebagai APT10, yang juga terdiri dari cluster yang dilacak sebagai Earth Tengshe dan Bronze Starlight. Kelompok ini dikenal karena menargetkan organisasi-organisasi Jepang setidaknya sejak tahun 2019, meskipun kampanye baru yang dilakukan pada awal tahun 2023 memperluas operasinya hingga mencakup Taiwan dan India.
Selama bertahun-tahun, gudang malware kru peretas telah berevolusi hingga mencakup pintu belakang seperti ANEL (alias UPPERCUT), LODEINFO dan NOOPDOOR (alias HiddenFace), serta pencuri kredensial yang disebut MirrorStealer.
ESET mengatakan kepada The Hacker News bahwa serangan MirrorFace sangat ditargetkan, dan biasanya terjadi “kurang dari 10 serangan per tahun.” Tujuan akhir dari intrusi ini adalah spionase dunia maya dan pencurian data. Meski begitu, ini bukan pertama kalinya organisasi diplomatik menjadi sasaran pelaku ancaman.
Dalam serangan terbaru yang terdeteksi oleh perusahaan keamanan siber Slovakia, korban dikirimi email spear-phishing yang berisi tautan ke arsip ZIP (“Pameran EXPO di Jepang pada tahun 2025.zip”) yang dihosting di Microsoft OneDrive.
Sumber Gambar: Trend Micro |
File arsip menyertakan file pintasan Windows (“Pameran EXPO di Jepang pada tahun 2025.docx.lnk”) yang, ketika diluncurkan, memicu rangkaian infeksi yang pada akhirnya menyebarkan ANEL dan NOOPDOOR.
“ANEL menghilang dari pandangan sekitar akhir tahun 2018 atau awal tahun 2019, dan diyakini LODEINFO telah menggantikannya, muncul kemudian pada tahun 2019,” kata ESET. Oleh karena itu, menarik untuk melihat ANEL muncul kembali setelah hampir lima tahun.
Perkembangan ini terjadi ketika pelaku ancaman yang berafiliasi dengan Tiongkok, seperti Flax Typhoon, Granite Typhoon, dan Webworm, diketahui semakin mengandalkan SoftEther VPN sumber terbuka dan multi-platform untuk mempertahankan akses ke jaringan korban.
Hal ini juga menyusul laporan dari Bloomberg yang mengatakan bahwa Volt Typhoon yang terkait dengan Tiongkok melanggar Singapore Telecommunications (Singtel) sebagai “uji coba” sebagai bagian dari kampanye yang lebih luas yang menargetkan perusahaan telekomunikasi dan infrastruktur penting lainnya, mengutip dua orang yang mengetahui masalah tersebut. Intrusi dunia maya ditemukan pada Juni 2024.
Penyedia layanan telekomunikasi dan jaringan di AS seperti AT&T, Verizon, dan Lumen Technologies juga telah menjadi sasaran kelompok musuh negara-bangsa Tiongkok lainnya yang disebut Salt Typhoon (alias FamousSparrow dan GhostEmperor).
Awal pekan ini, The Wall Street Journal mengatakan para peretas memanfaatkan serangan ini untuk menyusupi saluran telepon seluler yang digunakan oleh berbagai pejabat senior keamanan nasional, pejabat kebijakan, dan politisi di AS. Kampanye ini juga diduga telah menyusup ke penyedia komunikasi milik negara lain yang “dekat” berbagi intelijen dengan AS”