Se connecter
Inscription
Mot de passe perdu
MirrorFace, lié à la Chine, cible les diplomates européens avec l'Expo 2025 comme appât – par ESET Research
Publié le 18/03/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
le 18 mars 2025 — ESET Research a détecté une activité de cyber-espionnage menée par le groupe APT MirrorFace lié à la Chine, contre une institution diplomatique d'Europe centrale, concernant l'Expo 2025, qui aura lieu cette année à Osaka. Connu principalement pour ses activités de cyber-espionnage contre des organisations japonaises, MirrorFace essaie d'infiltrer une entité européenne. La campagne, découverte aux deuxième et troisième trimestre de 2024 et baptisée « Opération AkaiRyū » (Dragon rouge en japonais) par ESET, met en évidence les TTP actualisées observées au cours de l'année dernière.
« MirrorFace a ciblé une institution diplomatique d'Europe centrale. À notre connaissance, c'est la première fois, et à ce jour la seule fois, que MirrorFace cible une entité européenne », déclare Dominik Breitenbacher, le chercheur d'ESET qui a enquêté sur cette campagne.
Les opérateurs de MirrorFace ont mis en place leur attaque de spearphishing par un e-mail se référant à une précédente interaction légitime entre l'institution et une ONG japonaise. Ensuite, l'attaquant a utilisé comme leurre l'Exposition universelle de 2025, qui aura lieu à Osaka. Cela montre que, malgré un ciblage géographique plus large, MirrorFace reste concentré sur le Japon et les événements s’y rapportant. Avant cette attaque, MirrorFace avait ciblé deux employés d'un institut japonais de recherche en utilisant un document Word malveillant, protégé par un mot de passe et transmis d’une façon inconnue.
En analysant l'opération AkaiRyū, ESET a découvert que MirrorFace avait considérablement modernisé ses TTP et ses outils. MirrorFace a commencé à utiliser ANEL (aussi appelé UPPERCUT), une porte dérobée considérée comme exclusive à APT10 et que l'on croyait abandonnée depuis longtemps. Cette utilisation suggère que le développement d'ANEL a repris. Il prend en charge les commandes de base pour manipuler des fichiers, exécuter de charges utiles et capturer des écrans.
« L'utilisation d'ANEL apporte des éléments supplémentaires dans le débat actuel sur le lien potentiel entre MirrorFace et APT10. Le fait que MirrorFace ait commencé à utiliser ANEL, ainsi que d'autres informations identifiées précédemment, telles que des ciblages similaires et des similarités dans les codes malveillants, nous a fait modifier notre attribution. Désormais, nous pensons que MirrorFace est un sous-groupe d'APT10 », ajoute Breitenbacher.
MirrorFace a aussi déployé une variante très personnalisée d'AsyncRAT, intégrant ce malware dans une chaîne complexe récemment observée, qui exécute le RAT dans Windows Sandbox. Cette méthode cache efficacement les activités malveillantes et empêche la détection de la compromission par les contrôles de sécurité. Simultanément, MirrorFace a commencé le déploiement de Visual Studio Code (VS Code) pour exploiter sa fonctionnalité de tunnels distants. Ceux-ci permettent à MirrorFace d'établir un accès furtif avec la machine compromise, d'exécuter du code arbitraire et de fournir d'autres outils. De plus, MirrorFace continue à utiliser HiddenFace, sa porte dérobée, renforçant ainsi sa position sur les machines compromises.
Entre juin et septembre 2024, ESET a observé que MirrorFace menait plusieurs campagnes de spearphishing. Selon les données d'ESET, les attaquants ont d'abord obtenu un accès en incitant leurs cibles à ouvrir des pièces jointes ou des liens malveillants, puis en utilisant des applis et des outils légitimes pour installer furtivement leurs maliciels. Lors de l'opération AkaiRyū, MirrorFace a exploité à la fois des applis développées par McAfee et JustSystems pour exécuter ANEL. ESET n'a pas pu déterminer comment MirrorFace a exporté les données, ni si/et comment elles ont été exfiltrées.
ESET Research a collaboré avec l'institution d'Europe centrale concernée et a mené une enquête légale. Cette étroite collaboration a donné une vue d'ensemble rare et approfondie des activités après-compromission, qui autrement seraient passées inaperçues. ESET Research a présenté les résultats de cette analyse lors de la Joint Security Analyst Conference (JSAC) en janvier 2025.
Pour une analyse plus détaillée et technique de l'opération AkaiRyū de MirrorFace, consultez le nouveau blog d'ESET Research “Operation AkaiRyū: MirrorFace invites Europe to Expo 2025 and revives ANEL backdoor” sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (aujourd'hui X) pour ne rien manquer de son actualité.
A props d’ESET
ESET® offre une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cyber-menaces connues et émergentes, sécurisant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection des terminaux, du cloud ou des appareils mobiles, les solutions et services cloud d’ESET, basés sur l'IA, sont hautement efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur.
Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou sur LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
« MirrorFace a ciblé une institution diplomatique d'Europe centrale. À notre connaissance, c'est la première fois, et à ce jour la seule fois, que MirrorFace cible une entité européenne », déclare Dominik Breitenbacher, le chercheur d'ESET qui a enquêté sur cette campagne.
Les opérateurs de MirrorFace ont mis en place leur attaque de spearphishing par un e-mail se référant à une précédente interaction légitime entre l'institution et une ONG japonaise. Ensuite, l'attaquant a utilisé comme leurre l'Exposition universelle de 2025, qui aura lieu à Osaka. Cela montre que, malgré un ciblage géographique plus large, MirrorFace reste concentré sur le Japon et les événements s’y rapportant. Avant cette attaque, MirrorFace avait ciblé deux employés d'un institut japonais de recherche en utilisant un document Word malveillant, protégé par un mot de passe et transmis d’une façon inconnue.
En analysant l'opération AkaiRyū, ESET a découvert que MirrorFace avait considérablement modernisé ses TTP et ses outils. MirrorFace a commencé à utiliser ANEL (aussi appelé UPPERCUT), une porte dérobée considérée comme exclusive à APT10 et que l'on croyait abandonnée depuis longtemps. Cette utilisation suggère que le développement d'ANEL a repris. Il prend en charge les commandes de base pour manipuler des fichiers, exécuter de charges utiles et capturer des écrans.
« L'utilisation d'ANEL apporte des éléments supplémentaires dans le débat actuel sur le lien potentiel entre MirrorFace et APT10. Le fait que MirrorFace ait commencé à utiliser ANEL, ainsi que d'autres informations identifiées précédemment, telles que des ciblages similaires et des similarités dans les codes malveillants, nous a fait modifier notre attribution. Désormais, nous pensons que MirrorFace est un sous-groupe d'APT10 », ajoute Breitenbacher.
MirrorFace a aussi déployé une variante très personnalisée d'AsyncRAT, intégrant ce malware dans une chaîne complexe récemment observée, qui exécute le RAT dans Windows Sandbox. Cette méthode cache efficacement les activités malveillantes et empêche la détection de la compromission par les contrôles de sécurité. Simultanément, MirrorFace a commencé le déploiement de Visual Studio Code (VS Code) pour exploiter sa fonctionnalité de tunnels distants. Ceux-ci permettent à MirrorFace d'établir un accès furtif avec la machine compromise, d'exécuter du code arbitraire et de fournir d'autres outils. De plus, MirrorFace continue à utiliser HiddenFace, sa porte dérobée, renforçant ainsi sa position sur les machines compromises.
Entre juin et septembre 2024, ESET a observé que MirrorFace menait plusieurs campagnes de spearphishing. Selon les données d'ESET, les attaquants ont d'abord obtenu un accès en incitant leurs cibles à ouvrir des pièces jointes ou des liens malveillants, puis en utilisant des applis et des outils légitimes pour installer furtivement leurs maliciels. Lors de l'opération AkaiRyū, MirrorFace a exploité à la fois des applis développées par McAfee et JustSystems pour exécuter ANEL. ESET n'a pas pu déterminer comment MirrorFace a exporté les données, ni si/et comment elles ont été exfiltrées.
ESET Research a collaboré avec l'institution d'Europe centrale concernée et a mené une enquête légale. Cette étroite collaboration a donné une vue d'ensemble rare et approfondie des activités après-compromission, qui autrement seraient passées inaperçues. ESET Research a présenté les résultats de cette analyse lors de la Joint Security Analyst Conference (JSAC) en janvier 2025.
Pour une analyse plus détaillée et technique de l'opération AkaiRyū de MirrorFace, consultez le nouveau blog d'ESET Research “Operation AkaiRyū: MirrorFace invites Europe to Expo 2025 and revives ANEL backdoor” sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (aujourd'hui X) pour ne rien manquer de son actualité.
A props d’ESET
ESET® offre une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cyber-menaces connues et émergentes, sécurisant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection des terminaux, du cloud ou des appareils mobiles, les solutions et services cloud d’ESET, basés sur l'IA, sont hautement efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur.
Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou sur LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
Liens associés
16/04/2025 @ 09:35:16
Poster un commentaire
Jeux Vidéos
Windows
Intel
Navigateurs
