Se ha observado que el actor de amenazas alineado con China conocido como MirrorFace apunta a una organización diplomática en la Unión Europea, lo que marca la primera vez que el equipo de piratería ataca a una entidad en la región.
“Durante este ataque, el actor de amenazas utilizó como señuelo la próxima Exposición Mundial, que se llevará a cabo en 2025 en Osaka, Japón”, dijo ESET en su Informe de actividad APT para el período de abril a septiembre de 2024.
“Esto demuestra que incluso considerando esta nueva orientación geográfica, MirrorFace sigue centrado en Japón y los eventos relacionados con él”.
Se estima que MirrorFace, también rastreado como Earth Kasha, es parte de un grupo paraguas conocido como APT10, que también comprende grupos rastreados como Earth Tengshe y Bronze Starlight. Es conocido por apuntar a organizaciones japonesas al menos desde 2019, aunque una nueva campaña observada a principios de 2023 amplió sus operaciones para incluir a Taiwán y la India.
A lo largo de los años, el arsenal de malware del grupo de hackers ha evolucionado hasta incluir puertas traseras como ANEL (también conocido como UPPERCUT), LODEINFO y NOOPDOOR (también conocido como HiddenFace), así como un ladrón de credenciales conocido como MirrorStealer.
ESET le dijo a The Hacker News que los ataques MirrorFace están muy dirigidos y que generalmente ve “menos de 10 ataques por año”. El objetivo final de estas intrusiones es el ciberespionaje y el robo de datos. Dicho esto, esta no es la primera vez que organizaciones diplomáticas han sido atacadas por el actor de amenazas.
En el último ataque detectado por la empresa eslovaca de ciberseguridad, la víctima recibió un correo electrónico de phishing que contenía un enlace a un archivo ZIP (“La EXPO en Japón en 2025.zip”) alojado en Microsoft OneDrive.
 |
| Fuente de la imagen: Trend Micro |
El archivo incluía un archivo de acceso directo de Windows (“La EXPO en Japón en 2025.docx.lnk”) que, cuando se lanzó, desencadenó una secuencia de infección que finalmente desplegó ANEL y NOOPDOOR.
“ANEL desapareció de escena a finales de 2018 o principios de 2019, y se creía que LODEINFO la había sucedido, apareciendo más tarde en 2019”, dijo ESET. “Por lo tanto, es interesante ver a ANEL resurgir después de casi cinco años”.
El desarrollo se produce cuando se descubrió que los actores de amenazas afiliados a China, como Flax Typhoon, Granite Typhoon y Webworm, dependen cada vez más de SoftEther VPN, de código abierto y multiplataforma, para mantener el acceso a las redes de las víctimas.
También sigue a un informe de Bloomberg que decía que el Volt Typhoon, vinculado a China, irrumpió en Singapore Telecommunications (Singtel) como una “prueba” como parte de una campaña más amplia dirigida a las empresas de telecomunicaciones y otras infraestructuras críticas, citando a dos personas familiarizadas con el asunto. La ciberintrusión se descubrió en junio de 2024.
Los proveedores de servicios de redes y telecomunicaciones en EE. UU. como AT&T, Verizon y Lumen Technologies también se han convertido en el objetivo de otro colectivo adversario de estado-nación chino llamado Salt Typhoon (también conocido como FamousSparrow y GhostEmperor).
A principios de esta semana, The Wall Street Journal dijo que los piratas informáticos aprovecharon estos ataques para comprometer las líneas telefónicas utilizadas por varios altos funcionarios de seguridad nacional, funcionarios políticos y políticos en los EE. UU. También se alega que la campaña se infiltró en proveedores de comunicaciones pertenecientes a otro país que “estrechamente comparte inteligencia con Estados Unidos”
