Aggiornamenti recenti Aprile 21st, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 12 – 18 aprile: nuove campagne di phishing per pagoPA e Ministero della Salute
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
MirrorFace ha colpito un ente diplomatico europeo
MirrorFace, gruppo APT cinese allineato al governo, ha colpito un ente diplomatico europeo coinvolto nell’Expo 2025. Il gruppo, noto per attività di cyberspionaggio contro istituzioni giapponesi, ha esteso il proprio raggio d’azione per colpire altre realtà coinvolte nella prossima edizione dell’esposizione attesa a Osaka.
In un’analisi sul proprio blog, il team di WeLiveSecurity di ESET ha sottolineato che si tratta del primo attacco del gruppo contro un’entità europea. L’attacco, parte della campagna Operation AkaiRyū attiva già nel 2024, ha fatto uso della backdoor ANEL e di AsyncRAT.
L’attacco di MirrorFace
Come negli attacchi precedenti, anche in questo caso le attività sono cominciate con delle email di spearphishing contenenti allegati malevoli per l’esecuzione di malware.
Il gruppo ha però aggiornato le proprie tattiche e il proprio arsenale di tool, come dimostra l’uso di ANEL, una backdoor usata in precedenza esclusivamente dalla gang APT10. Per questo motivo, i ricercatori di ESET ritengono che MirrorFace possa essere un sottogruppo di APT10.
La backdoor è in grado di comunicare col server C2 tramite HTTP e cifrare i dati inviati per nascondere il contenuto in caso di individuazione. ANEL supporta inoltre comandi base per modificare file, eseguire payload e catturare screenshot.
Durante gli attacchi il gruppo ha fatto uso anche di una variante altamente personalizzata di AsyncRAT, un trojan ad accesso remoto già utilizzato nelle campagne del 2024. Questa variante si appoggia a un complesso meccanismo di sandboxing che consente di eseguire il RAT in un ambiente protetto.
La versione di AsyncRAT di MirrorFace può essere compilata con specifiche caratteristiche per colpire una particolare vittima e può scaricare ed eseguire un client Tor per la comunicazione col server C2.
Il gruppo ha inoltre usato tool quali PuTTY, HiddenFace (un’altra backdoor), Hidden Start e Rubeus per eseguire una serie di azioni post-compromissione e cercare di mantenere la persistenza sulle macchine colpite. Il gruppo ha eseguito i tool in maniera selettiva in base al tipo e al ruolo dell’utente che utilizzava la macchina compromessa.
L’impatto
Secondo l’analisi di WeLiveSecurity, il gruppo ha aspettato cinque giorni prima di cominciare l’attività di esfiltrazione dei dati. Al sesto giorno, la gang è riuscita a esportare dati sensibili da Chrome quali informazioni di contatto, dati per l’autoriempimento dei form e le informazioni delle carte di credito memorizzate sul browser.
Nonostante abbia colpito un’entità europea, il gruppo continua ad agire contro il governo giapponese: “Durante questo attacco, il gruppo ha sfruttato l’imminente World Expo 2025 come esca. Ciò dimostra che, anche considerando questo nuovo obiettivo geografico più ampio, MirrorFace rimane focalizzato sul Giappone e sugli eventi ad esso correlati” hanno spiegato i ricercatori di WeLiveSecurity.
L’intervento dei ricercatori ha permesso all’entità colpita di eliminare la presenza del gruppo sulle proprie macchine, ma ci sono ancora diversi punti oscuri riguardo le attività del gruppo che preoccupano gli esperti e aumentano la probabilità che MirrorFace torni presto all’attacco.
Condividi l'articolo
Penetration testing, una volta ogni tanto non basta più: serve un approccio continuativo
Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla pubblicazione
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 12 – 18 aprile: nuove campagne di phishing per... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di...
Ransomware: la serie
No posts found.
