Logiciel malveillant ROAMINGMOUSE
Un acteur de menace étatique connu sous le nom de MirrorFace a récemment été associé à des campagnes de cyberespionnage ciblant des agences gouvernementales et des institutions publiques au Japon et à Taïwan. Cet acteur, proche de la Chine et également connu sous le nom de Earth Kasha, opère comme un sous-groupe d' APT10 . En mars 2025, des chercheurs en sécurité ont révélé de nouveaux détails sur les activités du groupe, notamment son utilisation de logiciels malveillants avancés à des fins d'espionnage.
Table des matières
Opération AkaiRyū : une attaque antérieure découverte
En plus des opérations en cours au Japon et à Taïwan, Earth Kasha était également à l'origine de l'opération AkaiRyū, une cyberattaque visant une organisation diplomatique de l'Union européenne en août 2024. Cette opération impliquait le déploiement de la porte dérobée ANEL, également connue sous le nom d'UPPERCUT, mettant en évidence les tactiques sophistiquées de l'acteur pour obtenir un accès non autorisé à des cibles sensibles.
Stratégie d’attaque : une chaîne trompeuse de logiciels malveillants
L'opération MirrorFace commence par des e-mails de spear-phishing, certains envoyés depuis des comptes légitimes compromis. Ces e-mails contiennent une URL Microsoft OneDrive corrompue qui, une fois cliquée, télécharge un fichier ZIP. À l'intérieur de l'archive ZIP, un document Excel et un injecteur de macros nommé ROAMINGMOUSE servent de vecteur au malware. ROAMINGMOUSE, utilisé par MirrorFace depuis l'année dernière, décode et intègre un fichier ZIP supplémentaire contenant plusieurs composants malveillants.
Composants clés de la diffusion de logiciels malveillants :
- JSLNTOOL.exe, JSTIEE.exe ou JSVWMNG.exe : binaires légitimes
- JSFC.dll (ANELLDR) : une DLL malveillante
- Charge utile ANEL chiffrée : la porte dérobée principale
- MSVCR100.dll : une dépendance DLL légitime
Une fois déposé, le malware utilise explorer.exe pour lancer un exécutable légitime, chargeant ainsi la porte dérobée ANEL via la DLL frauduleuse, ANELLDR.
Fonctionnalités améliorées dans ANEL : une nouvelle ère de cyberespionnage
La porte dérobée ANEL utilisée dans la campagne 2025 inclut une mise à niveau significative : une nouvelle commande prenant en charge l'exécution en mémoire des fichiers objets Beacon (BOF). Les BOF sont de petits programmes en C conçus pour étendre les capacités de l'agent Cobalt Strike et améliorer les fonctionnalités post-exploitation. Une fois installée, la porte dérobée permet à Earth Kasha de prendre des captures d'écran, d'examiner l'environnement de la victime et de collecter des listes de processus et des informations de domaine pour une exploitation ultérieure.
Exploiter SharpHide et NOOPDOOR
Dans certains cas, les auteurs de la menace Earth Kasha ont utilisé SharpHide, un outil open source, pour lancer une nouvelle version de la porte dérobée NOOPDOOR (également connue sous le nom de HiddenFace). Cette porte dérobée a été conçue pour échapper à la détection en prenant en charge le DNS sur HTTPS (DoH), ce qui permet de masquer les recherches d'adresses IP utilisées pour les communications de commande et de contrôle (C2).
Menace permanente et vigilance nécessaire
Earth Kasha demeure une menace active et persistante visant des actifs de grande valeur, notamment des données gouvernementales sensibles, la propriété intellectuelle et les identifiants d'accès. Les entreprises et organisations, en particulier celles des secteurs liés à la gouvernance et aux infrastructures, doivent continuer à mettre en œuvre des mesures de cybersécurité robustes pour se prémunir contre ces attaques avancées et persistantes.
