Threats
O grupo de cibercriminosos MirrorFace usou a próxima edição da World Expo 2025, que se realizará em Osaka, Japão, como isco para a sua campanha de ciberespionagem
25/03/2025
|
Os investigadores da ESET detetaram atividades de ciberespionagem levadas a cabo pelo grupo MirrorFace, alinhado com a China, contra um instituto diplomático da Europa Central, no contexto da World Expo 2025. O grupo de cibercriminosos é conhecido pelas suas operações de espionagem contra organizações no Japão. No entanto, a ESET determinou que esta é a primeira vez que o MirrorFace demonstra intenção de atacar uma entidade europeia. A campanha de ciberespionagem, descoberta entre o segundo e o terceiro trimestre de 2024, foi designada Operação AkaiRyū pela ESET e revela TTP (Técnicas, Táticas e Procedimentos) atualizados, observados ao longo do último ano. “O MirrorFace teve como alvo um instituto diplomático da Europa Central. Tanto quanto sabemos, esta é a primeira e, até à data, a única vez que o MirrorFace atacou uma entidade na Europa”, afirma Dominik Breitenbacher, investigador da ESET, que analisou a campanha do grupo. Os cibercriminosos prepararam um ataque de spearphishing, criando um email que fazia referência a uma interação anterior e legítima entre o instituto diplomático e uma ONG japonesa. Durante este ataque, o grupo utilizou a próxima World Expo 2025, que se realizará em Osaka, no Japão, como isco para enganar as vítimas. Durante a investigação, a ESET descobriu que o MirrorFace atualizou os seus TTP e ferramentas. O grupo voltou a utilizar o ANEL (também conhecido como UPPERCUT), uma backdoor anteriormente associada ao grupo APT10, que se acreditava ter sido abandonada há vários anos. O ANEL permite a execução remota de comandos, manipulação de ficheiros, execução de payloads e captura de imagens de ecrã. Além disso, o MirrorFace implementou uma variante altamente personalizada do AsyncRAT, integrando o malware numa cadeia de execução sofisticada e recentemente observada, que executa o RAT dentro da Windows Sandbox. Entre junho e setembro de 2024, a ESET identificou múltiplas campanhas de spearphishing conduzidas pelo grupo. De acordo com os dados da ESET, os atacantes obtiveram acesso inicial ao enganar as vítimas, levando-as a abrir anexos ou links maliciosos. Na Operação AkaiRyū, o MirrorFace abusou de aplicações desenvolvidas pela McAfee e pela JustSystems para executar o ANEL e comprometer os sistemas das vítimas. |
Receba todas as novidades na sua caixa de correio!
THREATS
Milhares de sites WordPress comprometidos com malware DollyWay
PODCAST
Eleições e NIS2: o impasse na transposição da diretiva em destaque no mais recente episódio do IT Security Watch
ANALYSIS
Cibersegurança com peso significativo nas adjudicações do setor público em Portugal
ITECH
Google lança nova versão do scanner de vulnerabilidades open source
THREATS
Formbook foi o malware mais utilizado em Portugal durante mês de fevereiro
THREATS
Detetada atividade de ciberespionagem contra entidade europeia
THREATS
Vulnerabilidade crítica do Chrome permite execução de código
THREATS
Lançadas correções para vulnerabilidades em sistemas de backup e de IA
THREATS
Cibercriminosos exploram Firebase para ataques de phishing
THREATS
Vulnerabilidade crítica permite atacantes executarem código malicioso
