Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware ROAMINGMOUSE

Malware ROAMINGMOUSE

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Un actor de amenazas de un estado nación conocido como MirrorFace ha sido vinculado recientemente a campañas de ciberespionaje dirigidas a agencias gubernamentales e instituciones públicas en Japón y Taiwán. Este actor, aliado con China y también conocido como Earth Kasha, opera como un subgrupo dentro de APT10 . En marzo de 2025, investigadores de seguridad revelaron nuevos detalles sobre las actividades del grupo, incluyendo el uso de herramientas avanzadas de malware para espionaje.

Operación AkaiRyū: Un ataque previo descubierto

Además de las operaciones en curso en Japón y Taiwán, Earth Kasha también estuvo detrás de la Operación AkaiRyū, un ciberataque dirigido a una organización diplomática en la Unión Europea en agosto de 2024. Esta operación implicó el despliegue de la puerta trasera ANEL, también conocida como UPPERCUT, lo que destaca las sofisticadas tácticas del actor para obtener acceso no autorizado a objetivos sensibles.

Estrategia de ataque: una cadena engañosa de malware

La operación de MirrorFace comienza con correos electrónicos de phishing selectivo, algunos enviados desde cuentas legítimas comprometidas. Estos correos contienen una URL corrupta de Microsoft OneDrive que, al hacer clic, descarga un archivo ZIP. Dentro del archivo ZIP, un documento de Excel y un dropper con macros habilitadas, cuyo nombre en código es ROAMINGMOUSE, sirven como vehículo de distribución del malware. ROAMINGMOUSE, utilizado por MirrorFace desde el año pasado, decodifica y descarga un archivo ZIP adicional que contiene varios componentes maliciosos.

Componentes clave del malware Drop:

  • JSLNTOOL.exe, JSTIEE.exe o JSVWMNG.exe: binarios legítimos
  • JSFC.dll (ANELLDR): una DLL maliciosa
  • Carga útil cifrada de ANEL: La puerta trasera principal
  • MSVCR100.dll: una dependencia legítima de DLL

Una vez instalado, el malware utiliza explorer.exe para iniciar un ejecutable legítimo, instalando la puerta trasera ANEL a través de la DLL fraudulenta, ANELLDR.

Funciones mejoradas en ANEL: una nueva era de ciberespionaje

La puerta trasera ANEL utilizada en la campaña 2025 incluye una mejora significativa: un nuevo comando que permite la ejecución en memoria de Archivos de Objetos de Baliza (BOF). Los BOF son pequeños programas en C diseñados para ampliar las capacidades del agente Cobalt Strike , optimizando las funciones posteriores a la explotación. Una vez instalada, la puerta trasera permite a Earth Kasha tomar capturas de pantalla, examinar el entorno de la víctima y recopilar listas de procesos e información del dominio para su posterior explotación.

Aprovechar SharpHide y NOOPDOOR

En algunos casos, los actores de amenazas detrás de Earth Kasha han utilizado SharpHide, una herramienta de código abierto, para lanzar una nueva versión de la puerta trasera NOOPDOOR (también conocida como HiddenFace). Esta puerta trasera está diseñada para evadir la detección mediante la compatibilidad con DNS sobre HTTPS (DoH), lo que ayuda a ocultar las búsquedas de direcciones IP utilizadas para la comunicación de Comando y Control (C2).

Amenaza constante y vigilancia necesaria

Earth Kasha sigue siendo una amenaza activa y persistente que ataca activos de alto valor, como datos gubernamentales confidenciales, propiedad intelectual y credenciales de acceso. Las empresas y organizaciones, en particular las de sectores relacionados con la gobernanza y la infraestructura, deben seguir implementando medidas robustas de ciberseguridad para protegerse contra estos ataques avanzados y persistentes.

Tendencias

Compensación de DOGE a víctimas de fraude por correo...

Suplantación de identidad (phishing), Correo basura
Mantenerse alerta es más crucial que nunca. Cada día, los ciberdelincuentes idean nuevas formas de manipular a usuarios desprevenidos, a menudo disfrazando tácticas de comunicaciones legítimas. Los correos electrónicos fraudulentos de phishing son especialmente peligrosos porque atacan la confianza y la curiosidad de las personas, utilizando con frecuencia lenguaje y logotipos que parecen...

Mas Visto

Cargando...