Investigadores de ESET descubrieron una campaña de phishing dirigida lanzada por el grupo de APT que ESET monitorea como MirrorFace, que fue lanzada en las semanas previas a la elección de la Cámara de Consejeros de Japón en julio de 2022. La campaña, que hemos denominado Operation LiberalFace, estaba dirigida a entidades políticas japonesas. Nuestra investigación reveló que los miembros de un partido político en particular fueron de los que recibieron especial atención en esta campaña.
El equipo de investigación de ESET reveló detalles sobre esta campaña y sobre el grupo APT detrás de ella en la conferencia AVAR 2022 a principios de este mes.
Puntos clave de este artículo:
- A fines de junio de 2022, MirrorFace lanzó una campaña, que hemos denominado Operation LiberalFace, dirigida a entidades políticas japonesas.
- Se enviaron a los blancos de ataque correos de phishing especialmente dirigidos que contenían el backdoor insignia del grupo: LODEINFO.
- LODEINFO se usó para desplegar malware adicional en el equipo de la víctima, exfiltrar las credenciales de la víctima y robar los documentos y correos electrónicos de la víctima.
- En esta campaña el grupo utilizó un nuevo credential stealer, que es un malware para robar credenciales, al que han llamado MirrorStealer.
- El análisis de la actividad del grupo posterior al compromiso sugiere que las acciones se llevaron a cabo de forma manual o semimanual.
MirrorFace es un actor de amenazas de habla china que suele atacar a empresas y organizaciones de Japón. Si bien se especula con que este grupo podría estar relacionado con el grupo APT10 (Macnica, Kaspersky), ESET no puede atribuirlo a ningún grupo APT conocido. Por lo tanto, lo rastreamos como un grupo de APT aparte al que llamamos MirrorFace. En particular, existen reportes de que MirrorFace y LODEINFO, el malware desarrollado por el grupo y que se usa exclusivamente contra objetivos en Japón, ha sido utilizado en ataques a medios de comunicación, empresas relacionadas con la defensa, grupos de expertos, organizaciones diplomáticas e instituciones académicas. El objetivo de MirrorFace es el espionaje y la exfiltración de archivos de interés.
Atribuimos la Operación LiberalFace a MirrorFace en base a estos indicadores:
- Hasta donde sabemos, el malware LODEINFO es utilizado exclusivamente por MirrorFace.
- Los objetivos de Operation LiberalFace se alinean con los objetivos tradicionales de MirrorFace.
- Una muestra del malware de segunda etapa LODEINFO se comunicó con un servidor de C&C que rastreamos internamente como parte de la infraestructura de MirrorFace.
Uno de los correos electrónicos de phishing enviados en Operation LiberalFace se hizo pasar por una comunicación oficial del departamento de relaciones públicas de un partido político japonés en particular. El correo contenía una solicitud relacionada con las elecciones de la Cámara de Consejeros, y supuestamente se envió en nombre de un político prominente. Todos los correos electrónicos de spearphishing contenían un archivo adjunto malicioso que al ejecutarse desplegaba LODEINFO en la máquina de la víctima.
Además, descubrimos que MirrorFace utilizó un malware que no había sido documentado anteriormente, al que llamamos MirrorStealer, que roba credenciales de distintos tipos de aplicaciones que utiliza la víctima, como el navegaodr web o un cliente de correo. Creemos que esta es la primera vez que hace referencia a este malware de forma pública.
En la versión en inglés de esta publicación encontrará un completo análisis técnico de la campaña Operation LiberalFace que incluye una explicación detallada sobre la forma de el acceso inicial, la actividad posterior al compromiso, las característica del backdoor LODEINFO, características del malware para robar credenciales MirrorStealer, el robo de la información de interés, etc. Además, al final de la versión en inglés de este artículo encontrarán los indicadores de compromiso y las técnicas utilizadas por este grupo según MITRE.
Para más información, lea la versión completa en inglés de esta investigación.