Nel marzo 2025 è stata individuata una nuova campagna di cyberspionaggio condotta dal gruppo di minaccia noto come MirrorFace, che ha preso di mira agenzie governative e istituzioni pubbliche in Giappone e Taiwan. MirrorFace, associato all’ampio cluster APT10 e noto anche come Earth Kasha, ha impiegato due strumenti malware principali: ROAMINGMOUSE e una versione aggiornata del backdoor ANEL.

La campagna ha avuto inizio tramite email di spear-phishing, spesso inviate da account compromessi ma legittimi, che contenevano un link a OneDrive. Questo link scaricava un archivio ZIP infetto, al cui interno era presente un documento Excel malevolo e un dropper con macro denominato ROAMINGMOUSE. Questo dropper funge da vettore per distribuire i componenti del malware ANEL, ed era già stato utilizzato in precedenti attacchi del gruppo MirrorFace.

ROAMINGMOUSE, una volta eseguito, decodifica un file ZIP incorporato tramite Base64, lo estrae sul disco e avvia una serie di file tra cui eseguibili legittimi, una DLL malevola (ANELLDR), un payload ANEL criptato e una libreria DLL legittima di supporto. L’attacco sfrutta una tecnica di sideloading: viene lanciato un eseguibile affidabile tramite explorer.exe che, a sua volta, carica la DLL malevola. Quest’ultima decripta e attiva il backdoor ANEL.

Novità nella versione aggiornata di ANEL

Una novità significativa della versione 2025 di ANEL è l’introduzione di un comando che consente l’esecuzione in memoria di BOF (Beacon Object File), file compilati in C che estendono le capacità post-exploitation degli agenti Cobalt Strike. Grazie a questa funzionalità, MirrorFace può espandere le attività malevole senza scrivere ulteriori file sul disco della vittima, rendendo più difficile il rilevamento dalle soluzioni di sicurezza tradizionali.

Durante le operazioni, i cyber criminali acquisiscono screenshot, analizzano i processi attivi e raccolgono informazioni sul dominio della vittima, per valutare il contesto e massimizzare il furto di dati. Inoltre, in alcune varianti è stato rilevato l’uso di SharpHide, un tool open-source utilizzato per lanciare una versione aggiornata di NOOPDOOR, altro backdoor associato al gruppo. NOOPDOOR sfrutta la comunicazione DNS-over-HTTPS (DoH) per nascondere le proprie richieste di comando e controllo e sfuggire così ai sistemi di rilevamento tradizionali.

Obiettivi e raccomandazioni

L’obiettivo strategico di MirrorFace rimane quello di rubare informazioni sensibili e dati legati alla governance, proprietà intellettuale e infrastrutture critiche di Giappone e Taiwan. Le organizzazioni con asset di alto valore sono quindi invitate a rafforzare le misure di sicurezza e a prestare particolare attenzione alle minacce evolute di cyberspionaggio.