MirrorFace APT
La Agencia Nacional de Policía de Japón (NPA) y el Centro Nacional de Preparación para Incidentes y Estrategias de Ciberseguridad (NCSC) han acusado a un actor de amenazas vinculado a China conocido como MirrorFace de orquestar una campaña de ciberataques de larga duración. Desde 2019, el grupo presuntamente ha atacado a organizaciones, empresas e individuos en todo Japón, con el objetivo de robar información relacionada con la seguridad nacional y la tecnología avanzada.
Tabla de contenido
Enlaces de MirrorFace a APT10
Se cree que MirrorFace, también conocido como Earth Kasha, es un subgrupo dentro del conocido actor de amenazas APT10 . El grupo ha atacado sistemáticamente a entidades japonesas, empleando herramientas sofisticadas como ANEL, LODEINFO y NOOPDOOR (también conocido como HiddenFace) para lograr sus objetivos.
Spear-Phishing y expansión de objetivos
Los investigadores han descubierto detalles de una campaña de phishing selectivo en la que MirrorFace tenía como objetivo a personas y organizaciones en Japón para implementar ANEL y NOOPDOOR. A lo largo de los años, se han observado operaciones similares dirigidas a entidades en Taiwán y la India, lo que demuestra el interés estratégico más amplio del grupo.
Identificadas tres grandes campañas de ataque
Según NPA y NCSC, las actividades de MirrorFace se han clasificado en tres campañas principales:
- Campaña A (diciembre de 2019 – julio de 2023 ): esta fase se centró en centros de estudios, agencias gubernamentales, políticos y organizaciones de medios de comunicación. Los atacantes utilizaron correos electrónicos de phishing selectivo para enviar LODEINFO , NOOPDOOR y una versión personalizada de Lilith RAT conocida como LilimRAT.
- Campaña B (febrero-octubre de 2023) : Durante este período, MirrorFace centró su atención en los sectores de semiconductores, fabricación, comunicaciones, academia y aeroespacial. El grupo aprovechó vulnerabilidades conocidas en dispositivos conectados a Internet de Array Networks, Citrix y Fortinet para infiltrarse en las redes e implementar Cobalt Strike Beacon, LODEINFO y NOOPDOOR.
- Campaña C (a partir de junio de 2024): Los ataques más recientes se han dirigido principalmente contra académicos, centros de estudios, políticos y organizaciones de medios de comunicación. Los atacantes siguen utilizando correos electrónicos de phishing selectivo, esta vez para enviar ANEL (también conocido como UPPERCUT).
Técnicas de evasión y comunicaciones encubiertas
MirrorFace ha empleado técnicas avanzadas para mantener la persistencia y evitar la detección. Una táctica destacada consiste en utilizar túneles remotos de Visual Studio Code para establecer conexiones encubiertas, lo que permite a los actores de amenazas eludir las defensas de la red y mantener el control remoto sobre los sistemas comprometidos.
Sandbox de Windows para una ejecución oculta
Los investigadores también descubrieron que los atacantes han estado ejecutando cargas útiles amenazantes dentro del entorno Sandbox de Windows. Este enfoque permite que el malware funcione sin ser detectado por el software antivirus o los sistemas de detección y respuesta de puntos finales (EDR). Además, una vez que se apaga o reinicia el equipo host, se borran todos los rastros del malware, sin dejar ninguna evidencia forense.
Amenaza permanente a la seguridad nacional
Las tácticas persistentes y en constante evolución que utiliza MirrorFace ponen de relieve las amenazas cibernéticas actuales que enfrenta Japón. Al atacar sectores críticos y emplear sofisticadas estrategias de evasión, el grupo sigue planteando un grave desafío a la seguridad nacional y los avances tecnológicos. Las autoridades instan a las organizaciones a permanecer alertas ante los intentos de phishing selectivo y a reforzar sus defensas de ciberseguridad ante las amenazas en constante evolución.
