MirrorFace APT

L'Agence nationale de police japonaise (NPA) et le Centre national de préparation aux incidents et de stratégie pour la cybersécurité (NCSC) ont accusé un acteur malveillant lié à la Chine connu sous le nom de MirrorFace d'avoir orchestré une campagne de cyberattaques de longue haleine. Depuis 2019, le groupe aurait ciblé des organisations, des entreprises et des particuliers à travers le Japon, dans le but de voler des informations liées à la sécurité nationale et aux technologies de pointe.

Liens de MirrorFace vers APT10

MirrorFace, également connu sous le nom de Earth Kasha, serait un sous-groupe du célèbre groupe de cybercriminels APT10 . Le groupe a systématiquement attaqué des entités japonaises, en utilisant des outils sophistiqués tels qu'ANEL, LODEINFO et NOOPDOOR (également connu sous le nom de HiddenFace) pour atteindre ses objectifs.

Spear-Phishing et extension de la cible

Des chercheurs ont découvert les détails d'une campagne de spear-phishing dans laquelle MirrorFace a ciblé des individus et des organisations au Japon pour déployer ANEL et NOOPDOOR. Au fil des ans, des opérations similaires ont été observées ciblant des entités à Taiwan et en Inde, démontrant l'intérêt stratégique plus large du groupe.

Trois campagnes d’attaque majeures identifiées

Selon la NPA et le NCSC, les activités de MirrorFace ont été classées en trois campagnes principales :

• Campagne A (décembre 2019 – juillet 2023 ) : cette phase s'est concentrée sur les groupes de réflexion, les agences gouvernementales, les politiciens et les organisations médiatiques. Les attaquants ont utilisé des e-mails de spear phishing pour diffuser LODEINFO , NOOPDOOR et une version personnalisée de Lilith RAT connue sous le nom de LilimRAT.
• Campagne B (février – octobre 2023) : Au cours de cette période, MirrorFace a concentré ses efforts sur les secteurs des semi-conducteurs, de la fabrication, des communications, de l'enseignement et de l'aérospatiale. Le groupe a exploité les vulnérabilités connues des appareils connectés à Internet d'Array Networks, Citrix et Fortinet pour infiltrer les réseaux et déployer Cobalt Strike Beacon, LODEINFO et NOOPDOOR.
• Campagne C (depuis juin 2024) : les attaques les plus récentes ont principalement ciblé les universités, les groupes de réflexion, les politiciens et les médias. Les attaquants continuent d'utiliser des e-mails de spear-phishing, cette fois pour diffuser ANEL (également connu sous le nom d'UPPERCUT).

Techniques d'évasion et communications secrètes

MirrorFace a utilisé des techniques avancées pour maintenir la persistance et éviter la détection. Une tactique notable consiste à utiliser des tunnels distants Visual Studio Code pour établir des connexions secrètes, permettant aux acteurs de la menace de contourner les défenses du réseau et de maintenir le contrôle à distance sur les systèmes compromis.

Sandbox Windows pour une exécution furtive

Les enquêteurs ont également découvert que les attaquants exécutaient des charges malveillantes menaçantes dans l'environnement Sandbox de Windows. Cette approche permet au logiciel malveillant de fonctionner sans être détecté par les logiciels antivirus ou les systèmes Endpoint Detection and Response (EDR). De plus, une fois l'ordinateur hôte arrêté ou redémarré, toutes les traces du logiciel malveillant sont effacées, ne laissant aucune trace d'analyse.

Menace permanente pour la sécurité nationale

Les tactiques persistantes et évolutives utilisées par MirrorFace mettent en évidence les cybermenaces permanentes auxquelles le Japon est confronté. En ciblant des secteurs critiques et en employant des stratégies d’évasion sophistiquées, le groupe continue de poser un sérieux défi à la sécurité nationale et aux avancées technologiques. Les autorités exhortent les organisations à rester vigilantes face aux tentatives de spear-phishing et à renforcer leurs défenses de cybersécurité face aux menaces en constante évolution.