La campagna di spear-phishing attribuita al gruppo MirrorFace, collegato alla Cina, ha preso di mira individui e organizzazioni in Giappone dal giugno 2024. L'obiettivo principale è stato quello di distribuire backdoor note come NOOPDOOR e ANEL. Un aspetto interessante di questa campagna è il ritorno di ANEL, una backdoor utilizzata in passato da APT10 per attacchi mirati al Giappone fino al 2018, ma non più osservata da allora. MirrorFace, noto anche come Earth Kasha, è un attore di minaccia cinese che si distingue per il persistente targeting di entità giapponesi e si ritiene sia un sottogruppo di APT10.

La campagna attuale rappresenta un cambiamento rispetto alle intrusioni del gruppo osservate nel 2023, che si concentravano principalmente sullo sfruttamento delle vulnerabilità nei dispositivi edge di Array Networks e Fortinet per ottenere l'accesso iniziale. Questo cambiamento verso l'uso di email di spear-phishing è intenzionale e mira a colpire singoli individui piuttosto che grandi aziende, come evidenziato da Trend Micro. L'analisi dei profili delle vittime e dei nomi dei file distribuiti suggerisce che gli avversari siano particolarmente interessati a temi legati alla sicurezza nazionale giapponese e alle relazioni internazionali.

Le email digitali inviate da account gratuiti o compromessi contengono un link a Microsoft OneDrive, cercando di attirare i destinatari a scaricare un archivio ZIP trappola usando temi legati a richieste di interviste e alla sicurezza economica del Giappone in relazione alle attuali relazioni USA-Cina. Il contenuto dell'archivio ZIP varia a seconda dei bersagli, con tre vettori di infezione distinti utilizzati per distribuire un dropper maligno chiamato ROAMINGMOUSE. Questo dropper utilizza documenti Word abilitati per macro, file di scorciatoie Windows e script PowerShell per eseguire il caricamento di un documento modello abilitato per macro.

Il documento abilitato per macro, ROAMINGMOUSE, funge da dropper per componenti legati ad ANEL, avviando la backdoor e incorporando tecniche di evasione che la nascondono dai programmi di sicurezza, rendendo difficile la rilevazione. Uno dei moduli distribuiti tramite il dropper è ANELLDR, un loader progettato per eseguire ANEL in memoria tramite un metodo noto come DLL side-loading. ANEL, sviluppato attivamente tra il 2017 e il 2018, è un impianto basato su HTTP a 32 bit, utilizzato per catturare schermate, caricare/scaricare file, eseguire eseguibili e comandi tramite cmd.exe. La campagna del 2024 utilizza una versione aggiornata che introduce un nuovo comando per eseguire un programma specificato con privilegi elevati.

Le catene di attacco sfruttano la backdoor per raccogliere informazioni dagli ambienti infetti e distribuire selettivamente NOOPDOOR contro obiettivi di particolare interesse. La maggior parte dei bersagli sono individui, come ricercatori, che potrebbero avere livelli di sicurezza diversi rispetto alle organizzazioni aziendali, rendendo questi attacchi più difficili da rilevare. È essenziale mantenere misure di contromisura di base, come evitare di aprire file allegati a email sospette.