Aggiornamenti recenti Marzo 19th, 2025 5:47 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- MirrorFace ha colpito un ente diplomatico europeo
- Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla pubblicazione
- ClickFix: torna la campagna di phishing che colpisce il settore turistico
- CERT-AGID 8-14 marzo: contrastata una campagna malspam con DGA
- Scoperto KoSpy, un nuovo spyware Android nord-coreano
MirrorFace ha colpito un ente diplomatico europeo
MirrorFace, gruppo APT cinese allineato al governo, ha colpito un ente diplomatico europeo coinvolto nell’Expo 2025. Il gruppo, noto per attività di cyberspionaggio contro istituzioni giapponesi, ha esteso il proprio raggio d’azione per colpire altre realtà coinvolte nella prossima edizione dell’esposizione attesa a Osaka.
In un’analisi sul proprio blog, il team di WeLiveSecurity di ESET ha sottolineato che si tratta del primo attacco del gruppo contro un’entità europea. L’attacco, parte della campagna Operation AkaiRyū attiva già nel 2024, ha fatto uso della backdoor ANEL e di AsyncRAT.
L’attacco di MirrorFace
Come negli attacchi precedenti, anche in questo caso le attività sono cominciate con delle email di spearphishing contenenti allegati malevoli per l’esecuzione di malware.
Il gruppo ha però aggiornato le proprie tattiche e il proprio arsenale di tool, come dimostra l’uso di ANEL, una backdoor usata in precedenza esclusivamente dalla gang APT10. Per questo motivo, i ricercatori di ESET ritengono che MirrorFace possa essere un sottogruppo di APT10.
La backdoor è in grado di comunicare col server C2 tramite HTTP e cifrare i dati inviati per nascondere il contenuto in caso di individuazione. ANEL supporta inoltre comandi base per modificare file, eseguire payload e catturare screenshot.
Durante gli attacchi il gruppo ha fatto uso anche di una variante altamente personalizzata di AsyncRAT, un trojan ad accesso remoto già utilizzato nelle campagne del 2024. Questa variante si appoggia a un complesso meccanismo di sandboxing che consente di eseguire il RAT in un ambiente protetto.
La versione di AsyncRAT di MirrorFace può essere compilata con specifiche caratteristiche per colpire una particolare vittima e può scaricare ed eseguire un client Tor per la comunicazione col server C2.
Il gruppo ha inoltre usato tool quali PuTTY, HiddenFace (un’altra backdoor), Hidden Start e Rubeus per eseguire una serie di azioni post-compromissione e cercare di mantenere la persistenza sulle macchine colpite. Il gruppo ha eseguito i tool in maniera selettiva in base al tipo e al ruolo dell’utente che utilizzava la macchina compromessa.
L’impatto
Secondo l’analisi di WeLiveSecurity, il gruppo ha aspettato cinque giorni prima di cominciare l’attività di esfiltrazione dei dati. Al sesto giorno, la gang è riuscita a esportare dati sensibili da Chrome quali informazioni di contatto, dati per l’autoriempimento dei form e le informazioni delle carte di credito memorizzate sul browser.
Nonostante abbia colpito un’entità europea, il gruppo continua ad agire contro il governo giapponese: “Durante questo attacco, il gruppo ha sfruttato l’imminente World Expo 2025 come esca. Ciò dimostra che, anche considerando questo nuovo obiettivo geografico più ampio, MirrorFace rimane focalizzato sul Giappone e sugli eventi ad esso correlati” hanno spiegato i ricercatori di WeLiveSecurity.
L’intervento dei ricercatori ha permesso all’entità colpita di eliminare la presenza del gruppo sulle proprie macchine, ma ci sono ancora diversi punti oscuri riguardo le attività del gruppo che preoccupano gli esperti e aumentano la probabilità che MirrorFace torni presto all’attacco.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account... -
Indagine Zscaler: le aziende devono investire sulla... Le aziende temono gli attacchi informatici e la loro... -
Sul dark web ci sono oltre 2 milioni di carte di credito Secondo una recente analisi di Kaspersky, sul dark web sono... -
Le reti elettriche sono armi potenti al servizio dei... Negli ultimi anni gli attacchi contro le reti elettriche si...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
MirrorFace ha colpito un ente diplomatico europeo MirrorFace, gruppo APT cinese allineato al governo, ha... -
Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla... Un grave bug che colpisce Apache Tomcat è sfruttato... -
ClickFix: torna la campagna di phishing che colpisce il... ClickFix è tornato alla carica: dopo essere apparsa per... -
CERT-AGID 8-14 marzo: contrastata una campagna malspam con... Nell’ultima settimana il CERT-AGID ha individuato 61... -
Scoperto KoSpy, un nuovo spyware Android nord-coreano I ricercatori di Lookout hanno individuato KoSpy, uno...
Ransomware: la serie
No posts found.
