- À la fin du mois de juin 2022, MirrorFace a lancé l’opération LiberalFace visant des entités politiques japonaises.
- Des messages d’hameçonnage personnalisé contenant la porte dérobée LODEINFO ont été envoyés aux cibles.
- LODEINFO a été utilisé pour diffuser d’autres malwares, exfiltrer les identifiants des victimes, et voler leurs documents et leurs emails.
- Un voleur d’identifiants non documenté auparavant, que nous avons nommé MirrorStealer, a été utilisé dans Operation LiberalFace.
- MirrorFace est un groupe de pirates sinophones qui cible des entreprises et des organisations basées au Japon.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une campagne d’hameçonnage personnalisé, lancée dans les semaines précédant les élections de la Chambre des conseillers du Japon en juillet 2022, par le groupe de pirates qu’ESET Research étudie sous le nom de MirrorFace. L’enquête sur cette campagne, qu’ESET Research a baptisée Operation LiberalFace et qui visait des entités politiques japonaises, a révélé que les membres d’un parti politique japonais spécifique étaient visés par cette campagne. Les messages d’hameçonnage contenaient la porte dérobée LODEINFO, qui a été utilisée pour diffuser d’autres malwares, exfiltrer les identifiants des victimes, et voler leurs documents ainsi que leurs emails. MirrorFace est un acteur de menaces sinophone, dont les cibles sont basées au Japon.
Se présentant comme le département des relations publiques d’un parti politique japonais, MirrorFace a demandé aux destinataires de l’email de diffuser les vidéos jointes sur leurs propres profils de réseaux sociaux afin de renforcer les relations publiques du parti et d’assurer sa victoire à la Chambre des conseillers. Prétendument envoyé au nom d’un important politicien, l’email fournissait par ailleurs des instructions claires sur la stratégie de publication des vidéos. Tous les messages d’hameçonnage contenaient une pièce jointe malveillante qui, après exécution, déployait LODEINFO sur la machine compromise. MirrorFace a lancé son attaque le 29 juin 2022, avant les élections japonaises de juillet.
LODEINFO est une porte dérobée de MirrorFace qui est continuellement développée. Ses fonctionnalités comprennent la prise de captures d’écran, l’enregistrement des frappes au clavier, l’arrêt de processus, l’exfiltration de fichiers, l’exécution de fichiers supplémentaires, ainsi que le chiffrement de certains fichiers et dossiers. L’attaque a utilisé un voleur d’identifiants non documenté auparavant, qu’ESET Research a nommé MirrorStealer. Il est en mesure de voler les identifiants de différentes applications, telles que les navigateurs et les clients de messagerie.
« Au cours notre enquête sur Operation LiberalFace, nous avons réussi à découvrir d’autres tactiques, techniques et procédures de MirrorFace, comme le déploiement et l’utilisation de malwares et d’outils supplémentaires pour collecter et exfiltrer les précieuses données des victimes. Notre enquête a également révélé que les opérateurs de MirrorFace sont quelque peu négligents, laissant des traces et commettant plusieurs erreurs, » explique Dominik Breitenbacher, chercheur chez ESET, qui a découvert la campagne.
MirrorFace est un acteur de menaces sinophone qui cible des entreprises et des organisations basées au Japon. ESET suppose que cet acteur pourrait être lié au groupe APT10, mais n’est pas en mesure de le relier à un groupe connu. Par conséquent, ESET le classe comme une entité distincte nommée MirrorFace. En particulier, MirrorFace et LODEINFO, ses malwares propriétaires utilisés exclusivement contre des cibles au Japon, ciblent des médias, des entreprises liées à la défense, des groupes de réflexion, des organisations diplomatiques et des institutions universitaires. L’objectif de MirrorFace est l’espionnage et l’exfiltration de fichiers d’intérêt.
Pour plus d’informations techniques sur Operation LiberalFace du groupe MirrorFace, consultez l’article « Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.