Kínai kiberkémkedés EU diplomaták ellen
A MirrorFace néven ismert kínai hátterű kiberszereplő egy európai uniós diplomáciai szervezetet vett célba, ami az első alkalom, hogy a csoport a régióban lévő szervezetet vette célba. A kibertevékenység során a kiberszereplő a közelgő világkiállítást használta csalinak, amelyet 2025-ben rendeznek meg Oszakában – írja az ESET a 2024 áprilisától szeptemberig tartó időszakra vonatkozó APT jelentésében. Ez azt mutatja, hogy a MirrorFace az új földrajzi célponttól függetlenül továbbra is Japánra és a hozzá kapcsolódó eseményekre összpontosít.
A MirrorFace, amelyet Earth Kasha néven is nyomon követnek , a becslések szerint az APT10 néven ismert csoport része, amely Earth Tengshe és Bronze Starlight néven is nyomon követett klasztereket foglal magában. Legalább 2019 óta ismert, hogy japán szervezeteket vesz célba, bár egy 2023 elején megfigyelt új kampánya kiterjesztette tevékenységét Tajvanra és Indiára is. Az évek során a MirrorFace malware arzenálja olyan backdoor-okkal bővült, mint az ANEL (más néven UPPERCUT), a LODEINFO és a NOOPDOOR (más néven HiddenFace), valamint egy MirrorStealer. A MirrorFace támadások nagyon célzottak, és általában évente kevesebb mint 10 támadást hajtanak végre. Ezeknek a behatolásoknak az elsődleges célja a kiberkémkedés és az adatlopás. Ennek ellenére nem ez az első alkalom, hogy diplomáciai szervezeteket vesz célba a kiberszereplő.
A legutóbbi támadásban az áldozatnak egy spear-phishing e-mailt küldtek, amely egy Microsoft OneDrive-on tárolt ZIP-archívumra („The EXPO Exhibition in Japan in 2025.zip”) mutató linket tartalmazott. Az archív fájl tartalmaz egy Windows parancsfájlt („The EXPO Exhibition in Japan in 2025.docx.lnk”), amely elindításakor egy fertőzési sorozatot indít el, amely végül az ANEL és a NOOPDOOR programot telepíti.