En agosto de 2024, investigadores de ESET detectaron actividad de ciberespionaje llevada a cabo por el grupo de amenazas avanzadas MirrorFace, alineado con China, contra un instituto diplomático de Europa Central. Esta intrusión está relacionada con la Expo 2025, que tendrá lugar en Osaka, Japón. El grupo, conocido principalmente por sus actividades de ciberespionaje contra organizaciones en Japón, buscó infiltrarse en una entidad europea por primera vez.
La campaña, identificada como Operación AkaiRyū (que significa Dragón Rojo en japonés), presenta tácticas y herramientas renovadas, así como una cadena de ejecución compleja. MirrorFace ha incorporado un backdoor conocido como ANEL, previamente asociado exclusivamente con el grupo APT10, y ha desplegado una variante personalizada del AsyncRAT, aprovechando Windows Sandbox para ocultar sus acciones maliciosas.
Los investigadores presentaron los resultados de su análisis en la Conferencia Conjunta de Analistas de Seguridad (JSAC) en enero de 2025. Durante su investigación, ESET colaboró estrechamente con el instituto afectado, realizando un análisis forense que les permitió observar no solo cómo se produjo la intrusión, sino también las actividades posteriores a la infiltración.
MirrorFace ha sido identificado como un grupo activo desde al menos 2019, enfocándose en espionaje y exfiltración de archivos de interés. Aunque ha operado principalmente en Japón, su reciente incursión en Europa sugiere una expansión estratégica en su modelo de operaciones, utilizando eventos como la Expo 2025 en su enfoque de ingeniería social.
La metodología de ataque de MirrorFace comenzó con correos electrónicos de spearphishing cuidadosamente elaborados que engañaron a empleados del instituto para abrir documentos maliciosos. Las características destacadas de la campaña incluyen el uso de nuevos proveedores de correo y aplicaciones legítimas para realizar la entrega del malware, además del esfuerzo por evadir la detección mediante la utilización de herramientas comunes pero modificadas.
El análisis de ESET no solo desvela el uso de malware como ANEL y HiddenFace, sino también herramientas adicionales como Visual Studio Code para establecer túneles remotos, facilitando el acceso continuo a las máquinas comprometidas. Estos hallazgos subrayan cómo el grupo ha mejorado su operativa y su capacidad para eludir las medidas de seguridad, enfocándose en un entorno más amplio que antes.
La Operación AkaiRyū no solo destaca la adaptabilidad de MirrorFace, sino que también resalta la creciente preocupación por el ciberespionaje proveniente de actores alineados con el estado chino, especialmente en un contexto de interacciones internacionales y eventos significativos como la Expo 2025 en Japón.
Fuente: WeLiveSecurity by eSet.
