Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
MirrorFace colpisce ancora: Nuovo malware ANEL minaccia governi in Giappone e Taiwan
Nel marzo 2025 è stata individuata una nuova campagna di cyberspionaggio condotta dal gruppo di minaccia noto come MirrorFace, che ha preso di mira agenzie governative e istituzioni pubbliche in Giappone e Taiwan. MirrorFace, associato all’ampio cluster APT10 e noto anche come Earth Kasha, ha impiegato due strumenti malware principali: ROAMINGMOUSE e una versione aggiornata del backdoor ANEL.
La campagna ha avuto inizio tramite email di spear-phishing, spesso inviate da account compromessi ma legittimi, che contenevano un link a OneDrive. Questo link scaricava un archivio ZIP infetto, al cui interno era presente un documento Excel malevolo e un dropper con macro denominato ROAMINGMOUSE. Questo dropper funge da vettore per distribuire i componenti del malware ANEL, ed era già stato utilizzato in precedenti attacchi del gruppo MirrorFace.
ROAMINGMOUSE, una volta eseguito, decodifica un file ZIP incorporato tramite Base64, lo estrae sul disco e avvia una serie di file tra cui eseguibili legittimi, una DLL malevola (ANELLDR), un payload ANEL criptato e una libreria DLL legittima di supporto. L’attacco sfrutta una tecnica di sideloading: viene lanciato un eseguibile affidabile tramite explorer.exe che, a sua volta, carica la DLL malevola. Quest’ultima decripta e attiva il backdoor ANEL.
Novità nella versione aggiornata di ANEL
Una novità significativa della versione 2025 di ANEL è l’introduzione di un comando che consente l’esecuzione in memoria di BOF (Beacon Object File), file compilati in C che estendono le capacità post-exploitation degli agenti Cobalt Strike. Grazie a questa funzionalità, MirrorFace può espandere le attività malevole senza scrivere ulteriori file sul disco della vittima, rendendo più difficile il rilevamento dalle soluzioni di sicurezza tradizionali.
Durante le operazioni, i cyber criminali acquisiscono screenshot, analizzano i processi attivi e raccolgono informazioni sul dominio della vittima, per valutare il contesto e massimizzare il furto di dati. Inoltre, in alcune varianti è stato rilevato l’uso di SharpHide, un tool open-source utilizzato per lanciare una versione aggiornata di NOOPDOOR, altro backdoor associato al gruppo. NOOPDOOR sfrutta la comunicazione DNS-over-HTTPS (DoH) per nascondere le proprie richieste di comando e controllo e sfuggire così ai sistemi di rilevamento tradizionali.
Obiettivi e raccomandazioni
L’obiettivo strategico di MirrorFace rimane quello di rubare informazioni sensibili e dati legati alla governance, proprietà intellettuale e infrastrutture critiche di Giappone e Taiwan. Le organizzazioni con asset di alto valore sono quindi invitate a rafforzare le misure di sicurezza e a prestare particolare attenzione alle minacce evolute di cyberspionaggio.