AEMpress
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version

ESET descobre atividades de ciberespionagem contra a Europa

24/3/2025

 
Fotografia
Investigadores da ESET detetaram atividades de ciberespionagem realizadas pelo grupo MirrorFace, alinhado com a China, contra um instituto diplomático da Europa Central no contexto da World Expo 2025, que será realizada este ano em Osaka, no Japão.

Conhecido principalmente pelas suas atividades de ciberespionagem contra organizações no Japão, tanto quanto a ESET conseguiu determinar esta é a primeira vez que o MirrorFace mostra intenção de se infiltrar numa entidade europeia. A campanha foi descoberta no segundo e terceiro trimestre de 2024 e denominada Operação AkaiRyū (japonês para RedDragon) pela ESET; ela mostra TTPs (Técnicas, Táticas e Procedimentos) atualizados que a ESET observou ao longo do ano passado.

“O MirrorFace teve como alvo um instituto diplomático da Europa Central. Tanto quanto sabemos, esta é a primeira e, até à data, a única vez que o MirrorFace tem como alvo uma entidade na Europa”, afirma o investigador da ESET Dominik Breitenbacher, que investigou a campanha AkaiRyū.

Os operadores do MirrorFace prepararam o seu ataque de spearphishing (phishing direcionado) criando um email que faz referência a uma interação anterior e legítima entre o instituto e uma ONG japonesa. Durante este ataque, o grupo utilizou a próxima World Expo 2025 – a realizar em Osaka, no Japão – como isco. Isto mostra ainda que, mesmo considerando este novo alvo geográfico mais alargado, o MirrorFace continua concentrado no Japão e em eventos com ele relacionados.

Antes do ataque ao instituto diplomático europeu, o MirrorFace visou dois funcionários de um instituto de investigação japonês, utilizando um documento Word malicioso e protegido por palavra-passe, entregue de forma desconhecida.

Durante a análise da Operação AkaiRyū, a ESET descobriu que o MirrorFace atualizou significativamente os seus TTPs e ferramentas. O MirrorFace começou a usar o ANEL (também conhecido como UPPERCUT) – uma backdoor considerada exclusiva do grupo APT10 – que se acreditava ter sido abandonada há anos; no entanto, a atividade mais recente sugere que o desenvolvimento do ANEL foi reiniciado. O ANEL suporta comandos básicos para manipulação de ficheiros, execução de payloads e captura de imagens de ecrã.

“A utilização do ANEL também fornece mais provas no debate em curso sobre a potencial ligação entre o MirrorFace e o APT10. O facto de o MirrorFace ter começado a utilizar o ANEL, juntamente com outras informações previamente identificadas, como a semelhança de alvos e de código de malware, levou-nos a alterar a nossa atribuição: acreditamos agora que o MirrorFace é um subgrupo do APT10”, acrescenta Breitenbacher.

Além disso, o MirrorFace implantou uma variante altamente personalizada do AsyncRAT, incorporando este malware numa cadeia de execução intrincada e recém-observada que executa o RAT (trojan de acesso remoto) dentro da Windows Sandbox. Este método esconde eficazmente as atividades maliciosas das capacidades de controlos de segurança para detetar a infeção.

Paralelamente ao malware, o MirrorFace também começou a implementar o Visual Studio Code (VS Code) para abusar da sua funcionalidade de túneis remotos. Os túneis remotos permitem ao MirrorFace estabelecer um acesso furtivo à máquina comprometida, executar código arbitrário e implantar outras ferramentas. Finalmente, o MirrorFace continuou a empregar a sua atual backdoor principal, HiddenFace, reforçando ainda mais a persistência em máquinas comprometidas.

Entre junho e setembro de 2024, a ESET observou o MirrorFace a conduzir várias campanhas de spearphishing. Com base nos dados da ESET, os atacantes obtiveram acesso inicial principalmente enganando os alvos para que abrissem anexos ou links maliciosos e, em seguida, aproveitaram aplicações e ferramentas legítimas para instalar furtivamente o seu malware. Especificamente, na Operação AkaiRyū, o MirrorFace abusou de aplicações desenvolvidas pela McAfee e também de uma desenvolvida pela JustSystems para executar o ANEL.

A ESET colaborou com o instituto diplomático da Europa Central afetado e realizou uma investigação forense. A estreita colaboração com a organização afetada proporcionou uma visão rara e profunda das atividades pós-comprometimento que, de outra forma, não teriam sido vistas. A ESET apresentou os resultados desta análise na Joint Security Analyst Conference (JSAC) em janeiro de 2025.

Mais informações: https://www.welivesecurity.com/en/eset-research/operation-akairyu-mirrorface-invites-europe-expo-2025-revives-anel-backdoor

Os comentários estão fechados.
    Procura imagens de alta resolução? Visite a nossa galeria em fotos.aempress.com

    Marcas e Empresas

    Tudo
    121
    Acer
    AEMpress
    AgfaPhoto
    Angelbird
    AquaTech
    Axpo
    BenQ
    Biliti
    Binance
    Black Rock
    Bowers & Wilkins
    Brennenstuhl
    Camping Car Park
    Casa Da Imprensa
    CobraTether
    Cotton Carrier
    Definitive Technology
    Devolo
    ESET
    Evolution
    Feelworld
    GoodRAM
    Gudsen
    Hama
    Hasselblad
    Hollyland
    HP Instant
    InPost
    Invoxia
    Kevin
    Kodak
    LituFoto
    Lume Cube
    Macrium
    Madoqua
    Marantz
    Masimo
    Mental
    Metz
    Newell
    Open Cosmos
    Peli
    Predator
    Priberam
    QNAP
    Rapoo
    Reflecta
    Robisa
    Rotel
    Rotolight
    Samyang
    SanDisk
    SantaFilm
    Satcab
    SoundUnited
    Sprig
    Tamron
    Thypoch
    TourBox
    Verizon Connect
    WhiteHat
    XEEN
    Xencelabs
    YoloLiv

    Data

    Março 2025
    Fevereiro 2025
    Janeiro 2025
    Dezembro 2024
    Novembro 2024
    Outubro 2024
    Setembro 2024
    Agosto 2024
    Julho 2024
    Junho 2024
    Maio 2024
    Abril 2024
    Março 2024
    Fevereiro 2024
    Janeiro 2024
    Dezembro 2023
    Novembro 2023
    Outubro 2023
    Setembro 2023
    Agosto 2023
    Julho 2023
    Junho 2023
    Maio 2023
    Abril 2023
    Março 2023
    Fevereiro 2023
    Janeiro 2023
    Dezembro 2022
    Novembro 2022
    Outubro 2022
    Setembro 2022
    Agosto 2022
    Julho 2022
    Junho 2022
    Maio 2022
    Abril 2022
    Março 2022
    Fevereiro 2022
    Janeiro 2022
    Dezembro 2021
    Novembro 2021
    Outubro 2021
    Setembro 2021
    Agosto 2021
    Julho 2021
    Junho 2021
    Maio 2021
    Abril 2021
    Março 2021
    Fevereiro 2021
    Janeiro 2021
    Dezembro 2020
    Novembro 2020
    Outubro 2020
    Setembro 2020
    Agosto 2020
    Julho 2020
    Junho 2020
    Maio 2020
    Abril 2020
    Março 2020
    Fevereiro 2020
    Janeiro 2020
    Dezembro 2019
    Novembro 2019
    Outubro 2019
    Setembro 2019
    Agosto 2019
    Julho 2019
    Junho 2019
    Maio 2019
    Abril 2019
    Março 2019
    Fevereiro 2019
    Janeiro 2019
    Novembro 2018
    Outubro 2018

    Feed RSS

Imagem
CONTACTO
  • Home
  • Quem somos
  • O que fazemos
  • Onde estamos
  • Press Releases
  • Blogue
  • English version