Tehdit avcıları, Avrupa Birliği’nde Anel olarak bilinen bir arka kapı ile diplomatik bir organizasyonu hedefleyen Çin’e hizalanmış ayna yüzey tehdidi aktörü tarafından üstlenilen daha önce açıklanmış bir kötü amaçlı yazılım kampanyasına daha fazla ışık tuttu.
Ağustos 2024’ün sonlarında ESET tarafından tespit edilen saldırı, önümüzdeki ay Japonya’nın Osaka kentinde başlaması planlanan Word Expo ile ilgili lures ile Orta Avrupa Diplomatik Enstitüsü’nü seçti.
Etkinlik, Akairyū (Reddragon için Japonca) operasyonu kodlandı. En az 2019’dan beri aktif olan Mirrorface, Dünya Kasha olarak da adlandırılıyor. APT10 şemsiyesi içinde bir alt grup olduğu değerlendirilir.
Japon kuruluşlarının münhasır hedeflemesiyle bilinirken, tehdit oyuncunun bir Avrupa organizasyonuna saldırısı, tipik mağdur ayak izinden ayrılıyor.
Hepsi bu değil. İzinsiz giriş, daha önce APT10 ile bağlantılı bir arka kapı olan ağır özelleştirilmiş bir asyncrat ve anel (aka üst kesim) varyantını dağıtmak için de dikkat çekicidir.
Anel kullanımı sadece Lodeinfo’dan bir kaymayı vurguladığı için değil, aynı zamanda 2018’in sonlarında veya 2019’un başlarında bir süre kesildikten sonra arka kapının geri dönüşünü vurguladığı için önemlidir.
ESET, Hacker News’e verdiği demeçte, “Ne yazık ki, Mirrorface’in LodeInfo’yu kullanmaktan Anel’e geçmesi için belirli bir nedenin farkında değiliz.” Dedi. “Ancak, Lodeinfo’nun tüm 2024 boyunca kullanıldığını gözlemlemedik ve şimdiye kadar 2025’te de kullanıldığını görmedik. Bu nedenle, Mirrorface Anel’e geçti ve şimdilik Lodeinfo’yu terk etti.”
Slovak siber güvenlik şirketi ayrıca Akairyū operasyonunun, bu Ocak ayında Japonya Ulusal Polis Ajansı (NPA) ve Ulusal Olay Hazırlık ve Siber Güvenlik Stratejisi (NCSC) tarafından belgelenen Kampanya C ile örtüştüğünü kaydetti.
Diğer önemli değişiklikler arasında, ikincisi birden fazla Çin hack grubu tarafından gittikçe tercih edilen bir taktik haline gelen, uzlaşılmış makinelere gizli erişim sağlamak için Asyncrat ve Visual Studio Kodu uzaktan tünellerinin değiştirilmiş bir versiyonunun kullanılması yer alıyor.
Saldırı zincirleri, alıcıları DLL yan yükleme yoluyla Anelldr adlı bir yükleyici bileşeni başlatan bubi sıkışmış belgeleri veya bağlantıları açmaya ikna etmek için mızrak aktı lures kullanmayı içerir. Ayrıca, sadece Mirrorface tarafından kullanılan Hiddenface (diğer adıyla Noopdoor) adlı modüler bir arka kapı var.
ESET, “Ancak, faaliyetlerin tam bir resmini çizmek için hala çok sayıda eksik parçası var.” Dedi. “Sebeplerden biri, Mirrorface’nin daha kapsamlı hale gelen ve teslim edilen araçları ve dosyaları silerek, Windows olay günlüklerini temizleyerek ve Windows Sandbox’ta kötü amaçlı yazılım çalıştırarak olay araştırmalarını engelleyen gelişmiş operasyonel güvenliği.”