Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
MirrorFace ha colpito un ente diplomatico europeo
MirrorFace, gruppo APT cinese allineato al governo, ha colpito un ente diplomatico europeo coinvolto nell’Expo 2025. Il gruppo, noto per attività di cyberspionaggio contro istituzioni giapponesi, ha esteso il proprio raggio d’azione per colpire altre realtà coinvolte nella prossima edizione dell’esposizione attesa a Osaka.
In un’analisi sul proprio blog, il team di WeLiveSecurity di ESET ha sottolineato che si tratta del primo attacco del gruppo contro un’entità europea. L’attacco, parte della campagna Operation AkaiRyū attiva già nel 2024, ha fatto uso della backdoor ANEL e di AsyncRAT.
L’attacco di MirrorFace
Come negli attacchi precedenti, anche in questo caso le attività sono cominciate con delle email di spearphishing contenenti allegati malevoli per l’esecuzione di malware.
Il gruppo ha però aggiornato le proprie tattiche e il proprio arsenale di tool, come dimostra l’uso di ANEL, una backdoor usata in precedenza esclusivamente dalla gang APT10. Per questo motivo, i ricercatori di ESET ritengono che MirrorFace possa essere un sottogruppo di APT10.
La backdoor è in grado di comunicare col server C2 tramite HTTP e cifrare i dati inviati per nascondere il contenuto in caso di individuazione. ANEL supporta inoltre comandi base per modificare file, eseguire payload e catturare screenshot.
Durante gli attacchi il gruppo ha fatto uso anche di una variante altamente personalizzata di AsyncRAT, un trojan ad accesso remoto già utilizzato nelle campagne del 2024. Questa variante si appoggia a un complesso meccanismo di sandboxing che consente di eseguire il RAT in un ambiente protetto.
La versione di AsyncRAT di MirrorFace può essere compilata con specifiche caratteristiche per colpire una particolare vittima e può scaricare ed eseguire un client Tor per la comunicazione col server C2.
Il gruppo ha inoltre usato tool quali PuTTY, HiddenFace (un’altra backdoor), Hidden Start e Rubeus per eseguire una serie di azioni post-compromissione e cercare di mantenere la persistenza sulle macchine colpite. Il gruppo ha eseguito i tool in maniera selettiva in base al tipo e al ruolo dell’utente che utilizzava la macchina compromessa.
L’impatto
Secondo l’analisi di WeLiveSecurity, il gruppo ha aspettato cinque giorni prima di cominciare l’attività di esfiltrazione dei dati. Al sesto giorno, la gang è riuscita a esportare dati sensibili da Chrome quali informazioni di contatto, dati per l’autoriempimento dei form e le informazioni delle carte di credito memorizzate sul browser.
Nonostante abbia colpito un’entità europea, il gruppo continua ad agire contro il governo giapponese: “Durante questo attacco, il gruppo ha sfruttato l’imminente World Expo 2025 come esca. Ciò dimostra che, anche considerando questo nuovo obiettivo geografico più ampio, MirrorFace rimane focalizzato sul Giappone e sugli eventi ad esso correlati” hanno spiegato i ricercatori di WeLiveSecurity.
L’intervento dei ricercatori ha permesso all’entità colpita di eliminare la presenza del gruppo sulle proprie macchine, ma ci sono ancora diversi punti oscuri riguardo le attività del gruppo che preoccupano gli esperti e aumentano la probabilità che MirrorFace torni presto all’attacco.
Condividi l'articolo
Penetration testing, una volta ogni tanto non basta più: serve un approccio continuativo
Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla pubblicazione
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
