Im August 2024 entdeckten ESET Forscher Cyberspionage-Aktivitäten der China in Verbindung stehenden Advanced Persistent Threat (APT)-Gruppe MirrorFace. Ziel der Angriffe war eine mitteleuropäische diplomatische Einrichtung. Bei ihrem Angriff bezogen sich die Hacker auf die diesjährige Expo 2025 in Osaka, Japan. 

MirrorFace ist in erster Linie für Cyberspionage-Aktivitäten gegen Organisationen in Japan bekannt. Der aktuelle Fall ist das erste Mal, dass die Gruppe eine europäische Einrichtung infiltrieren wollte. Die Kampagne, die wir im zweiten und dritten Quartal 2024 aufdeckten und die wir Operation AkaiRyū (japanisch für Roter Drache) nannten, zeigt aufgefrischte Taktiken, Techniken und Verfahren (TTPs), die wir im Laufe des Jahres 2024 beobachteten: die Einführung neuer Tools (wie ein angepasstes AsyncRAT), die Wiederauferstehung von ANEL und eine komplexe Ausführungskette.

In diesem Blogpost stellen wir Details zu den Angriffen der Operation AkaiRyū und die Ergebnisse unserer Untersuchung des Falls des diplomatischen Instituts vor, einschließlich der Daten aus unserer forensischen Analyse. ESET präsentierte die Ergebnisse dieser Analyse auf der Joint Security Analyst Conference (JSAC) im Januar 2025.

Die wichtigsten Punkte dieses Blogposts:
  • MirrorFace hat seine TTPs und Werkzeuge aufgefrischt.
  • MirrorFace hat begonnen, ANEL zu verwenden, eine Backdoor, die zuvor ausschließlich mit APT10 in Verbindung gebracht wurde.
  • MirrorFace nutzt eine stark angepasste Variante von AsyncRAT, der innerhalb der Windows Sandbox funktioniert.
  • Nach unserem Kenntnisstand hat MirrorFace zum ersten Mal eine europäische Einrichtung ins Visier genommen.
  • Wir haben mit dem betroffenen mitteleuropäischen diplomatischen Institut zusammengearbeitet und eine forensische Untersuchung durchgeführt.
  • Die bei dieser Untersuchung gewonnenen Erkenntnisse haben uns einen besseren Einblick in die Aktivitäten von MirrorFace nach der Kompromittierung ermöglicht.

MirrorFace-Profil

MirrorFace, auch bekannt als Earth Kasha, ist ein mit China verbündeter Bedrohungsakteur, der es bisher fast ausschließlich auf Unternehmen und Organisationen in Japan abgesehen hat. Auch einige andere Länder, die Beziehungen zu Japan unterhalten. gehören zu den Zielen. Wir betrachten MirrorFace nach dieser Untersuchung als eine Untergruppe von APT10. MirrorFace ist seit mindestens 2019 aktiv und hat es Berichten zufolge auf Medien, Unternehmen aus dem Verteidigungsbereich, Denkfabriken, diplomatische Organisationen, Finanzinstitute, akademische Einrichtungen und Hersteller abgesehen. Im Jahr 2022 entdeckten wir eine MirrorFace-Spearphishing-Kampagne, die auf japanische politische Einrichtungen abzielte.

MirrorFace konzentriert sich auf Spionage und Exfiltration interessanter Dateien; es ist die einzige Gruppe, die LODEINFO- und HiddenFace-Backdoors verwendet. Bei den in diesem Blogpost analysierten Aktivitäten im Jahr 2024 begann MirrorFace, auch die frühere APT10-Signatur-Backdoor ANEL für seine Operationen zu verwenden.

Überblick

Ähnlich wie frühere MirrorFace-Angriffe begann auch die Operation AkaiRyū mit sorgfältig gestalteten Spearphishing-E-Mails, die die Empfänger zum Öffnen bösartiger Anhänge verleiten sollten. Unsere Erkenntnisse deuten darauf hin, dass diese Gruppe trotz ihres Streifzugs über die Grenzen ihres üblichen Jagdgebiets hinaus weiterhin einen starken Fokus auf Japan und Ereignisse im Zusammenhang mit diesem Land hat. Dies ist jedoch nicht das erste Mal, dass MirrorFace außerhalb Japans aktiv ist: Trend Micro und das vietnamesische National Cyber Security Center (Dokument auf Vietnamesisch) berichteten über solche Fälle in Taiwan, Indien und Vietnam.

Das Comeback von ANEL

Bei unserer Analyse der Operation AkaiRyū haben wir festgestellt, dass MirrorFace seine TTPs und Werkzeuge erheblich erneuert hat. MirrorFace begann mit der Verwendung von ANEL (auch UPPERCUT genannt) - einer Backdoor, die als exklusiv für APT10 gilt. Das ist eine überraschende Erkenntnis, da man davon ausging, dass ANEL gegen Ende 2018 oder Anfang 2019 aufgegeben wurde und LODEINFO als Nachfolger später im Jahr 2019 erschien. Der geringe Unterschied in den Versionsnummern zwischen ANEL 2018 und 2024, 5.5.0 und 5.5.4, und die Tatsache, dass APT10 ANEL früher alle paar Monate aktualisierte, deuten stark darauf hin, dass die Entwicklung von ANEL wieder aufgenommen wurde.

Die Verwendung von ANEL liefert auch weitere Beweise in der laufenden Debatte über eine mögliche Verbindung zwischen MirrorFace und APT10. Die Tatsache, dass MirrorFace begonnen hat, ANEL zu verwenden, und die anderen zuvor bekannten Informationen, wie z. B. die Ähnlichkeit der Angriffsziele und des Malware-Codes, haben uns zu einer Änderung unserer Zuordnung veranlasst: Wir glauben nun, dass MirrorFace eine Untergruppe unter dem Dach von APT10 ist. Mit dieser Änderung der Zuordnung stimmen wir mit anderen Forschern überein, die MirrorFace bereits als Teil von APT10 betrachten, wie etwa Macnica (Bericht auf Japanisch), Kaspersky, ITOCHU Cyber & Intelligence Inc. und Cybereason. Andere, wie z. B. Trend Micro, halten MirrorFace bislang nur für potenziell mit APT10 verbunden.

Erste Verwendung von AsyncRAT und Visual Studio Code durch MirrorFace

Im Jahr 2024 setzte MirrorFace eine stark angepasste Variante von AsyncRAT ein. Die Hacker betteten diese Malware in eine neu beobachtete, komplizierte Ausführungskette ein, die das RAT innerhalb der Windows-Sandbox ausführt. Mit dieser Methode werden die bösartigen Aktivitäten effektiv vor Sicherheitskontrollen verborgen und die Bemühungen zur Erkennung des Angriffs erschwert.

Parallel zur Malware begann MirrorFace auch mit dem Einsatz von Visual Studio Code (VS Code), um dessen Remote-Tunnel-Funktion zu missbrauchen. Mithilfe von Remote-Tunneln kann MirrorFace heimlich auf den kompromittierten Rechner zugreifen, beliebigen Code ausführen und andere Tools bereitstellen. MirrorFace ist nicht die einzige APT-Gruppe, die VS Code missbraucht: Auch Tropic Trooper und Mustang Panda nutzen diesen Code für ihre Angriffe.

Darüber hinaus setzt MirrorFace weiterhin seine aktuelle Flaggschiff-Backdoor HiddenFace ein, um die Persistenz auf kompromittierten Rechnern weiter zu erhöhen. Während ANEL von MirrorFace als erste Backdoor eingesetzt wird, gleich nachdem das Ziel kompromittiert wurde, wird HiddenFace in den späteren Phasen des Angriffs eingesetzt. Es ist auch erwähnenswert, dass wir im Jahr 2024 keine Verwendung von LODEINFO, einer anderen Backdoor, die ausschließlich von MirrorFace verwendet wird, beobachten konnten.

Forensische Analyse der Kompromittierung

Wir setzten uns mit dem betroffenen Institut in Verbindung, um es über den Angriff zu informieren und die Kompromittierung so schnell wie möglich zu bereinigen. Das Institut arbeitete während und nach dem Angriff eng mit uns zusammen und stellte uns zusätzlich die Festplattenabbilder der kompromittierten Rechner zur Verfügung. So konnten wir forensische Analysen dieser Images durchführen und weitere MirrorFace-Aktivitäten aufdecken.

ESET lieferte den Kunden von ESET Threat Intelligence am 4. September 2024 weitere technische Details über die Rückkehr von ANEL. Trend Micro veröffentlichte seine Erkenntnisse über die jüngsten MirrorFace-Aktivitäten am 21. Oktober 2024 auf Japanisch und am 26. November 2024 auf Englisch: Diese überschneiden sich mit der Operation AkaiRyū und erwähnen auch die Rückkehr der ANEL-Backdoor. Darüber hinaus veröffentlichte die japanische Nationale Polizeibehörde (NPA) im Januar 2025 eine Warnung über MirrorFace-Aktivitäten an Organisationen, Unternehmen und Einzelpersonen in Japan. Die Operation AkaiRyū entspricht der Kampagne C, die in der japanischen Version der NPA-Warnung erwähnt wird. Die NPA erwähnt jedoch ausschließlich japanische Einrichtungen - Einzelpersonen und Organisationen, die vor allem in den Bereichen Wissenschaft, Think Tanks, Politik und Medien tätig sind.

Ergänzend zum Bericht von Trend Micro und zur Warnung der NPA stellen wir eine exklusive Analyse der Aktivitäten von MirrorFace nach der Kompromittierung zur Verfügung. Dazu gehören der Einsatz eines stark angepassten AsyncRAT, der Missbrauch von VS-Code-Remote-Tunneln und Details zur Ausführungskette, die Malware in der Windows-Sandbox ausführt, um eine Erkennung zu vermeiden und die durchgeführten Aktionen zu verbergen.

Eine tiefergehende technische Analyse finden Sie im englischsprachigen Original-Blogpost auf Welivesecurity.com.