В марте 2025 года компания Trend Micro обнаружила новую кибершпионскую кампанию, организованную хакерской группой MirrorFace (также известной как Earth Kasha). Эта группировка, считающаяся подразделением APT10 и связанная с Китаем, нацелилась на правительственные учреждения и общественные организации Японии и Тайваня, используя усовершенствованные вредоносные программы ROAMINGMOUSE и ANEL.
MirrorFace не впервые попадает в поле зрения специалистов по кибербезопасности. В августе 2024 года группа провела операцию AkaiRyū, атаковав дипломатическую организацию в Европейском Союзе с помощью вредоносного ПО ANEL (также известного как UPPERCUT). Эта операция была подробно задокументирована компанией ESET в марте 2025 года.
Новая кампания MirrorFace использует несколько компонентов вредоносного ПО. ROAMINGMOUSE, дроппер с макросами, применяемый группой с 2024 года, отвечает за доставку компонентов, связанных с ANEL. Сам ANEL является основным бэкдором, и его версия 2025 года получила новую возможность выполнять Beacon Object Files (BOFs) в памяти, что позволяет собирать скриншоты, списки процессов и информацию о домене без оставления следов на диске.
Третьим компонентом атаки является NOOPDOOR (также известный как HiddenFace) – вторичный бэкдор, поддерживающий DNS-over-HTTPS (DoH) для сокрытия коммуникаций с командным центром. Это значительно усложняет обнаружение вредоносной активности традиционными средствами сетевого мониторинга.
Цепочка атаки начинается с фишинговых писем, некоторые из которых отправляются с взломанных, но легитимных учетных записей. В письмах содержится URL-ссылка на Microsoft OneDrive, ведущая к загрузке ZIP-архива. Архив содержит зараженный документ Excel и дроппер ROAMINGMOUSE.
После активации ROAMINGMOUSE декодирует и развертывает легитимный бинарный файл (JSLNTOOL.exe, JSTIEE.exe или JSVWMNG.exe), библиотеку JSFC.dll (ANELLDR), зашифрованную полезную нагрузку ANEL и легитимную библиотеку MSVCR100.dll, необходимую для работы вредоносного ПО.
Процесс Explorer.exe запускает легитимный исполняемый файл, который через технику DLL sideloading загружает ANELLDR. Затем ANELLDR расшифровывает и запускает бэкдор ANEL. В некоторых случаях атакующие используют инструмент SharpHide для запуска NOOPDOOR, что обеспечивает дополнительный канал доступа к зараженной системе.
По словам исследователя безопасности Хара Хироаки из Trend Micro, особую обеспокоенность вызывает тот факт, что группа постоянно совершенствует свои инструменты и тактики. Обновленная версия ANEL с возможностью выполнения BOF-файлов в памяти значительно повышает скрытность операций MirrorFace и усложняет обнаружение атак.
Целенаправленные атаки на правительственные учреждения Японии и Тайваня указывают на стратегический интерес Китая к этим странам и подчеркивают важность постоянного мониторинга и обновления систем защиты от кибератак. Организациям в целевых странах рекомендуется повысить бдительность и внедрить многоуровневые системы защиты, способные обнаруживать и блокировать подобные сложные атаки.
Изображение носит иллюстративный характер
MirrorFace не впервые попадает в поле зрения специалистов по кибербезопасности. В августе 2024 года группа провела операцию AkaiRyū, атаковав дипломатическую организацию в Европейском Союзе с помощью вредоносного ПО ANEL (также известного как UPPERCUT). Эта операция была подробно задокументирована компанией ESET в марте 2025 года.
Новая кампания MirrorFace использует несколько компонентов вредоносного ПО. ROAMINGMOUSE, дроппер с макросами, применяемый группой с 2024 года, отвечает за доставку компонентов, связанных с ANEL. Сам ANEL является основным бэкдором, и его версия 2025 года получила новую возможность выполнять Beacon Object Files (BOFs) в памяти, что позволяет собирать скриншоты, списки процессов и информацию о домене без оставления следов на диске.
Третьим компонентом атаки является NOOPDOOR (также известный как HiddenFace) – вторичный бэкдор, поддерживающий DNS-over-HTTPS (DoH) для сокрытия коммуникаций с командным центром. Это значительно усложняет обнаружение вредоносной активности традиционными средствами сетевого мониторинга.
Цепочка атаки начинается с фишинговых писем, некоторые из которых отправляются с взломанных, но легитимных учетных записей. В письмах содержится URL-ссылка на Microsoft OneDrive, ведущая к загрузке ZIP-архива. Архив содержит зараженный документ Excel и дроппер ROAMINGMOUSE.
После активации ROAMINGMOUSE декодирует и развертывает легитимный бинарный файл (JSLNTOOL.exe, JSTIEE.exe или JSVWMNG.exe), библиотеку JSFC.dll (ANELLDR), зашифрованную полезную нагрузку ANEL и легитимную библиотеку MSVCR100.dll, необходимую для работы вредоносного ПО.
Процесс Explorer.exe запускает легитимный исполняемый файл, который через технику DLL sideloading загружает ANELLDR. Затем ANELLDR расшифровывает и запускает бэкдор ANEL. В некоторых случаях атакующие используют инструмент SharpHide для запуска NOOPDOOR, что обеспечивает дополнительный канал доступа к зараженной системе.
По словам исследователя безопасности Хара Хироаки из Trend Micro, особую обеспокоенность вызывает тот факт, что группа постоянно совершенствует свои инструменты и тактики. Обновленная версия ANEL с возможностью выполнения BOF-файлов в памяти значительно повышает скрытность операций MirrorFace и усложняет обнаружение атак.
Целенаправленные атаки на правительственные учреждения Японии и Тайваня указывают на стратегический интерес Китая к этим странам и подчеркивают важность постоянного мониторинга и обновления систем защиты от кибератак. Организациям в целевых странах рекомендуется повысить бдительность и внедрить многоуровневые системы защиты, способные обнаруживать и блокировать подобные сложные атаки.
