• ESET ontdekte een cyberespionage-operatie van de aan China gelinkte MirrorFace advanced persistent threat (APT)-groep tegen een Centraal-Europese diplomatieke institutie in verband met de aanstaande Japanse Expo 2025.
• MirrorFace vernieuwde zowel zijn tools als tactieken, technieken en procedures (TTP's).
• Volgens ESET is het de eerste keer dat MirrorFace een Europese entiteit als doelwit neemt.
18 maart 2025 — ESET Research ontdekte cyberespionage-activiteiten uitgevoerd door de aan China gelinkte MirrorFace APT-groep tegen een Centraal-Europees diplomatiek instituut in verband met Expo 2025, die dit jaar in Osaka plaats heeft. MirrorFace is vooral bekend om zijn cyberespionage tegen organisaties in Japan. Voor zover bekend, is dit de eerste keer dat de groep van plan was om een Europese entiteit te infiltreren. De campagne werd ontdekt in Q2 en Q3 van 2024 en door ESET ‘Operation AkaiRyū’ (Japans voor Rode Draak) genoemd. Het toont vernieuwde TTP’s die ESET Research het afgelopen jaar kon waarnemen.
“MirrorFace richtte zich op een Centraal-Europees diplomatiek instituut. Voor zover wij weten is dit de eerste en tot nu toe enige keer dat MirrorFace zich richt op een Europese entiteit”, zegt Dominik Breitenbacher van ESET Research, die de AkaiRyū-campagne onderzocht.
Operatoren van MirrorFace hebben hun spearphishing-aanval opgezet met een e-mailbericht dat verwijst naar een vroegere, legitieme interactie tussen de instelling en een Japanse NGO. Hierbij gebruikte de dreigingsactor de aankomende World Expo 2025 als lokaas. Dit laat zien dat MirrorFace, zelfs met dit nieuwe, bredere geografische doel, zich blijft richten op Japan en evenementen die ermee verband houden. Vóór de aanval op deze organisatie, richtte MirrorFace zich op twee werknemers van een Japans onderzoeksinstituut, met behulp van een kwaadaardig en met een wachtwoord beveiligd Word-document dat op onbekende wijze werd afgeleverd.
Bij de analyse van Operation AkaiRyū ontdekte ESET dat MirrorFace zijn TTP’s en tools aanzienlijk had vernieuwd. MirrorFace begon ANEL (ook UPPERCUT genoemd) te gebruiken – een backdoor die exclusief voor APT10 werd gebruikt – waarvan men dacht deze sinds jaren in onbruik was geraakt. De nieuwste activiteit suggereert echter dat de ontwikkeling van ANEL opnieuw is gestart. ANEL ondersteunt basisopdrachten voor bestandsmanipulatie, uitvoering van payloads en het maken van screenshots.
“Het gebruik van ANEL bewijst ook de mogelijke connectie tussen MirrorFace en APT10. Het feit dat MirrorFace ANEL ging gebruiken, in combinatie met de andere voorheen geïdentificeerde informatie zoals vergelijkbare doeleinden en overeenkomsten in de malware code, zette ons aan om onze toeschrijving te wijzigen: we geloven nu dat MirrorFace een subgroep is onder de APT10-paraplu”, aldus Breitenbacher.
Bovendien implementeerde MirrorFace een sterk aangepaste variant van AsyncRAT, waarbij deze malware ingebed is in een pas waargenomen, ingewikkelde keten die de RAT uitvoert in Windows Sandbox. Deze methode verbergt de kwaadaardige activiteiten voor beveiligingscontroles en verhindert de inbreukdetectie. Terzelfder tijd is MirrorFace ook begonnen met het implementeren van Visual Studio Code (VS Code) om misbruik te maken van diens functie voor externe tunnels. Door externe tunnels krijgt MirrorFace heimelijke toegang tot de gecompromitteerde machine, om willekeurige code uit te voeren en andere tools te leveren. Uiteindelijk ging MirrorFace door met het gebruik van HiddenFace, zijn huidige voorkeurs-backdoor, om op gecompromitteerde machines zijn persistentie nog te versterken.
Tussen juni en september 2024 zag ESET dat MirrorFace meerdere spearphishing-campagnes uitvoerde. Volgens ESET-gegevens verkregen de aanvallers vooral toegang door doelwitten te misleiden om schadelijke bijlagen of links te openen, waarna ze legitieme apps en tools gebruikten om hun malware heimelijk te installeren. In Operation AkaiRyū, misbruikte MirrorFace zowel door McAfee als door JustSystems ontwikkelde apps om ANEL uit te voeren. ESET kon niet bepalen hoe MirrorFace de data exporteerde en/of/en hoe de data geëxfiltreerd werd.
ESET Research werkte samen met het getroffen Centraal-Europese diplomatieke instituut en voerde een forensisch onderzoek uit. De nauwe samenwerking met de getroffen organisatie leverde een zeldzaam en grondig inzicht op in post-aanvals-activiteiten die anders onopgemerkt zouden gebleven zijn. De resultaten van deze analyse werden door ESET Research gepresenteerd op de Joint Security Analyst Conference (JSAC) in januari 2025.
Raadpleeg voor een meer gedetailleerde en technische analyse van MirrorFace’s Operation AkaiRyū, de nieuwste ESET Research blog “Operation AkaiRyū: MirrorFace invites Europe to Expo 2025 and revives ANEL backdoor” op www.WeLiveSecurity.com. Volg ook ESET Research op X voor de nieuwste info over ESET Research en https://www.eset.com/be-nl/
Meer lezen
