MirrorFace ha colpito un ente diplomatico europeo

Mar 19, 2025 Marina Londei Attacchi, In evidenza, Intrusione, News, RSS 0

---

MirrorFace, gruppo APT cinese allineato al governo, ha colpito un ente diplomatico europeo coinvolto nell’Expo 2025. Il gruppo, noto per attività di cyberspionaggio contro istituzioni giapponesi, ha esteso il proprio raggio d’azione per colpire altre realtà coinvolte nella prossima edizione dell’esposizione attesa a Osaka.

In un’analisi sul proprio blog, il team di WeLiveSecurity di ESET ha sottolineato che si tratta del primo attacco del gruppo contro un’entità europea. L’attacco, parte della campagna Operation AkaiRyū attiva già nel 2024, ha fatto uso della backdoor ANEL e di AsyncRAT.

L’attacco di MirrorFace

Come negli attacchi precedenti, anche in questo caso le attività sono cominciate con delle email di spearphishing contenenti allegati malevoli per l’esecuzione di malware.

Il gruppo ha però aggiornato le proprie tattiche e il proprio arsenale di tool, come dimostra l’uso di ANEL, una backdoor usata in precedenza esclusivamente dalla gang APT10. Per questo motivo, i ricercatori di ESET ritengono che MirrorFace possa essere un sottogruppo di APT10.

La backdoor è in grado di comunicare col server C2 tramite HTTP e cifrare i dati inviati per nascondere il contenuto in caso di individuazione. ANEL supporta inoltre comandi base per modificare file, eseguire payload e catturare screenshot.

Durante gli attacchi il gruppo ha fatto uso anche di una variante altamente personalizzata di AsyncRAT, un trojan ad accesso remoto già utilizzato nelle campagne del 2024. Questa variante si appoggia a un complesso meccanismo di sandboxing che consente di eseguire il RAT in un ambiente protetto.

La versione di AsyncRAT di MirrorFace può essere compilata con specifiche caratteristiche per colpire una particolare vittima e può scaricare ed eseguire un client Tor per la comunicazione col server C2.

Il gruppo ha inoltre usato tool quali PuTTY, HiddenFace (un’altra backdoor), Hidden Start e Rubeus per eseguire una serie di azioni post-compromissione e cercare di mantenere la persistenza sulle macchine colpite. Il gruppo ha eseguito i tool in maniera selettiva in base al tipo e al ruolo dell’utente che utilizzava la macchina compromessa.

L’impatto

Secondo l’analisi di WeLiveSecurity, il gruppo ha aspettato cinque giorni prima di cominciare l’attività di esfiltrazione dei dati. Al sesto giorno, la gang è riuscita a esportare dati sensibili da Chrome quali informazioni di contatto, dati per l’autoriempimento dei form e le informazioni delle carte di credito memorizzate sul browser.

Nonostante abbia colpito un’entità europea, il gruppo continua ad agire contro il governo giapponese: “Durante questo attacco, il gruppo ha sfruttato l’imminente World Expo 2025 come esca. Ciò dimostra che, anche considerando questo nuovo obiettivo geografico più ampio, MirrorFace rimane focalizzato sul Giappone e sugli eventi ad esso correlati” hanno spiegato i ricercatori di WeLiveSecurity.

L’intervento dei ricercatori ha permesso all’entità colpita di eliminare la presenza del gruppo sulle proprie macchine, ma ci sono ancora diversi punti oscuri riguardo le attività del gruppo che preoccupano gli esperti e aumentano la probabilità che MirrorFace torni presto all’attacco.

---

• ANEL, APT, APT10, AsyncRAT, backdoor, Expo 2025, MirroFace

---

---