- ESET heeft een cyberspionageoperatie ontdekt van de China-gelieerde APT-groep MirrorFace, gericht op een diplomatiek instituut in Centraal-Europa in verband met de aanstaande Expo 2025 in Japan.
- MirrorFace heeft zowel zijn tools als zijn tactieken, technieken en procedures (TTP's) vernieuwd.
- Voor zover wij weten, is dit de eerste keer dat MirrorFace een Europees doelwit aanvalt.
- MirrorFace maakt nu gebruik van ANEL, een backdoor die voorheen exclusief werd geassocieerd met APT10, en heeft een sterk aangepaste variant van AsyncRAT ingezet via een complexe uitvoeringsketen binnen Windows Sandbox.
Sliedrecht, 18 maart 2025 – ESET-onderzoekers hebben cyberspionageactiviteiten gedetecteerd die zijn uitgevoerd door de China-gelieerde APT-groep MirrorFace. De aanval was gericht op een diplomatiek instituut in Centraal-Europa en had betrekking op Expo 2025, die dit jaar wordt gehouden in Osaka, Japan.
MirrorFace staat vooral bekend om zijn cyberspionagecampagnes tegen organisaties in Japan. "MirrorFace heeft een diplomatiek instituut in Centraal-Europa aangevallen. Voor zover ESET weet, is dit de eerste en tot nu toe enige keer dat MirrorFace een Europese organisatie als doelwit heeft gekozen," zegt ESET-onderzoeker Dominik Breitenbacher, die de AkaiRyū-campagne heeft onderzocht.
De campagne werd in het tweede en derde kwartaal van 2024 ontdekt en door ESET Operation AkaiRyū (Japans voor RedDragon) genoemd. Tijdens deze campagne werden vernieuwde TTP’s waargenomen die ESET Research in de loop van vorig jaar heeft geanalyseerd.
De operators van MirrorFace voerden hun spearphishingaanval uit door een e-mailbericht te versturen dat verwees naar een eerdere, legitieme interactie tussen het doelwit en een Japanse NGO. In deze aanval gebruikte de dreigingsactor de aanstaande Wereldtentoonstelling Expo 2025 in Osaka, Japan, als lokaas. Dit toont aan dat MirrorFace, ondanks deze bredere geografische targeting, nog steeds een sterke focus op Japan en aan Japan gerelateerde evenementen behoudt.
Vóór de aanval op dit Europese diplomatieke instituut had MirrorFace al twee werknemers van een Japans onderzoeksinstituut als doelwit gekozen. Dit gebeurde via een kwaadaardig, met een wachtwoord beveiligd Word-document, dat op onbekende wijze werd afgeleverd.
Vernieuwde tactieken en geavanceerde malware
Tijdens de analyse van Operation AkaiRyū ontdekte ESET dat MirrorFace zijn TTP’s en tools aanzienlijk heeft vernieuwd. De groep maakt nu gebruik van ANEL (ook bekend als UPPERCUT) – een backdoor die voorheen exclusief werd geassocieerd met het eveneens aan China gelieerde APT10. Daarvan werd aangenomen dat het al jaren niet meer werd gebruikt. De nieuwste activiteit wijst er echter sterk op dat de ontwikkeling van ANEL is hervat. ANEL ondersteunt basiscommando’s voor bestandsmanipulatie, het uitvoeren van payloads en het maken van schermafbeeldingen.
"Het gebruik van ANEL levert nieuw bewijs in de lopende discussie over de mogelijke connectie tussen MirrorFace en APT10. Het feit dat MirrorFace ANEL is gaan gebruiken, samen met eerder geïdentificeerde overeenkomsten zoals vergelijkbare doelwitten en malwarecode, heeft ons ertoe gebracht onze toewijzing aan te passen: we beschouwen MirrorFace nu als een subgroep binnen de APT10-structuur," zegt Breitenbacher.
Daarnaast heeft MirrorFace een sterk aangepaste variant van AsyncRAT ingezet, waarbij deze malware werd ingekapseld in een nieuw waargenomen, complexe uitvoeringsketen die AsyncRAT binnen Windows Sandbox laat draaien. Dit maakt het voor beveiligingsoplossingen moeilijker om de kwaadaardige activiteiten te detecteren.
Naast de malware is MirrorFace begonnen met het gebruik van Visual Studio Code (VS Code) om misbruik te maken van de functie voor externe tunnels. Via deze externe tunnels kan MirrorFace ongemerkt toegang krijgen tot een gecompromitteerde machine, willekeurige code uitvoeren en aanvullende tools afleveren. MirrorFace blijft ook zijn belangrijkste backdoor, HiddenFace, gebruiken. Wat de blijvende toegang tot geïnfecteerde systemenen verstevigt.
Spearphishing en misbruik van legitieme software
Tussen juni en september 2024 heeft ESET meerdere spearphishingcampagnes van MirrorFace waargenomen. Op basis van ESET-data verkregen de aanvallers voornamelijk initiële toegang door doelwitten te misleiden om kwaadaardige bijlagen of links te openen. Vervolgens maakten ze gebruik van legitieme applicaties en tools om hun malware heimelijk te installeren.
Specifiek in Operation AkaiRyū heeft MirrorFace misbruik gemaakt van zowel door McAfee ontwikkelde applicaties als een applicatie van JustSystems om ANEL uit te voeren. ESET kon niet vaststellen op welke manier MirrorFace gegevens exporteerde of hoe de exfiltratie plaatsvond.
Samenwerking met getroffen organisatie
ESET Research heeft samengewerkt met het getroffen diplomatieke instituut in Centraal-Europa en een forensisch onderzoek uitgevoerd. Dankzij deze nauwe samenwerking kreeg ESET diepgaand inzicht in de activiteiten na de compromittering – details die anders verborgen zouden zijn gebleven. De resultaten van deze analyse zijn in januari 2025 gepresenteerd op de Joint Security Analyst Conference (JSAC).
Voor een gedetailleerde technische analyse van Operation AkaiRyū, lees de nieuwste ESET Research-blogpost "Operation AkaiRyū: MirrorFace invites Europe to Expo 2025 and revives ANEL backdoor" op WeLiveSecurity.com. Volg ESET Research op X (voorheen Twitter) voor het laatste nieuws over cyberdreigingen en onderzoek van ESET.
De AsyncRAT uitvoeringsketen van MirrorFace
Over ESET
ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET's bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.