Recentemente, i cacciatori di minacce hanno fornito nuovi dettagli su una campagna malware precedentemente rilevata, condotta dal gruppo criminale MirrorFace, affiliato alla Cina. Questo gruppo ha preso di mira un'organizzazione diplomatica dell'Unione Europea utilizzando un backdoor noto come ANEL. L'attacco, individuato da ESET verso la fine di agosto 2024, è stato diretto a un istituto diplomatico dell'Europa Centrale, sfruttando esche legate all'Expo 2025, che si terrà a Osaka, Giappone.

Operation AkaiRyū

Questa operazione, denominata Operation AkaiRyū (che significa Drago Rosso in giapponese), segna un cambiamento significativo nelle tattiche di MirrorFace, noto per concentrarsi principalmente su obiettivi giapponesi. Attivo almeno dal 2019, MirrorFace è anche conosciuto come Earth Kasha ed è considerato un sottogruppo dell'APT10.

Un aspetto rilevante di questo attacco è l'uso di una variante pesantemente personalizzata di AsyncRAT insieme ad ANEL, un backdoor collegato precedentemente all'APT10. L'uso di ANEL è significativo non solo per il cambiamento da LODEINFO, ma anche perché rappresenta il ritorno di questo backdoor dopo essere stato abbandonato tra la fine del 2018 e l'inizio del 2019.

ESET ha commentato che non è chiaro il motivo per cui MirrorFace abbia deciso di passare da LODEINFO ad ANEL. Tuttavia, non è stato osservato l'uso di LODEINFO nel 2024, né finora nel 2025, il che suggerisce che MirrorFace abbia abbandonato LODEINFO per ANEL. Inoltre, l'operazione AkaiRyū si sovrappone alla Campagna C, documentata dall'Agenzia Nazionale di Polizia del Giappone e dal Centro Nazionale di Preparazione e Strategia per la Sicurezza Informatica all'inizio di quest'anno.

Cambiamenti nelle Tattiche

Tra i cambiamenti principali si nota l'uso di una versione modificata di AsyncRAT e dei Visual Studio Code Remote Tunnels per stabilire un accesso furtivo alle macchine compromesse. Quest'ultimo metodo è sempre più utilizzato da diversi gruppi di hacker cinesi.

Le catene di attacco coinvolgono l'uso di esche di spear-phishing per convincere i destinatari ad aprire documenti o link infetti, che avviano un componente loader chiamato ANELLDR tramite DLL side-loading. Questo componente decripta e carica ANEL. Viene inoltre distribuito un backdoor modulare chiamato HiddenFace, utilizzato esclusivamente da MirrorFace.

Nonostante queste rivelazioni, molte parti del quadro complessivo delle attività di MirrorFace restano oscure. Uno dei motivi è la maggiore sicurezza operativa del gruppo, che ora cancella gli strumenti e i file consegnati, pulisce i log degli eventi di Windows e fa girare il malware in Windows Sandbox per ostacolare le indagini sugli incidenti.