MirrorFace olarak bilinen Çin bağlantılı tehdit aktörünün Avrupa Birliği’ndeki diplomatik bir kuruluşu hedef aldığı gözlemlendi; bu, bilgisayar korsanlığı ekibinin bölgedeki bir kuruluşu ilk kez hedef alması anlamına geliyor.
ESET, Nisan-Eylül 2024 dönemine ilişkin APT Faaliyet Raporunda, “Bu saldırı sırasında tehdit aktörü, 2025 yılında Japonya’nın Osaka kentinde düzenlenecek olan World Expo’yu yem olarak kullandı.” dedi.
“Bu, yeni coğrafi hedefleme göz önüne alındığında bile MirrorFace’in Japonya’ya ve onunla ilgili olaylara odaklanmaya devam ettiğini gösteriyor.”
Earth Kasha olarak da takip edilen MirrorFace’in, Earth Tengshe ve Bronze Starlight olarak takip edilen kümeleri de içeren, APT10 olarak bilinen bir şemsiye grubunun parçası olduğu değerlendiriliyor. En azından 2019’dan bu yana Japon kuruluşlarını hedef almasıyla biliniyor, ancak 2023’ün başlarında gözlemlenen yeni bir kampanya, operasyonlarını Tayvan ve Hindistan’ı da kapsayacak şekilde genişletti.
Yıllar geçtikçe, bilgisayar korsanlığı ekibinin kötü amaçlı yazılım cephaneliği, ANEL (diğer adıyla UPPERCUT), LODEINFO ve NOOPDOOR (diğer adıyla HiddenFace) gibi arka kapıların yanı sıra MirrorStealer adı verilen bir kimlik bilgisi hırsızını içerecek şekilde gelişti.
Slovak siber güvenlik şirketi tarafından tespit edilen son saldırıda kurbana, Microsoft OneDrive’da barındırılan bir ZIP arşivine (“2025.zip’te Japonya’daki EXPO Sergisi”) bağlantı içeren bir hedef odaklı kimlik avı e-postası gönderildi.
 |
| Resim Kaynağı: Trend Micro |
Arşiv dosyası, başlatıldığında sonuçta ANEL ve NOOPDOOR’u dağıtan bir enfeksiyon dizisini tetikleyen bir Windows kısayol dosyası (“2025’te Japonya’daki EXPO Sergisi.docx.lnk”) içeriyordu.
ESET, “ANEL, 2018’in sonu veya 2019’un başında ortadan kayboldu ve LODEINFO’nun bunu başardığına ve 2019’un sonlarında ortaya çıktığına inanılıyordu” dedi. “Bu nedenle ANEL’in neredeyse beş yıl sonra yeniden ortaya çıktığını görmek ilginç.”
Bu gelişme, Flax Typhoon, Granite Typhoon ve Webworm gibi Çin’e bağlı tehdit aktörlerinin kurbanların ağlarına erişimi sürdürmek için giderek daha fazla açık kaynaklı ve çok platformlu SoftEther VPN’e güvendiğinin anlaşılmasıyla ortaya çıktı.
Bu aynı zamanda Bloomberg’den gelen ve Çin bağlantılı Volt Typhoon’un, konuyu bilen iki kişiye atıfta bulunarak, telekom şirketlerini ve diğer kritik altyapıyı hedef alan daha geniş bir kampanyanın parçası olarak bir “test çalıştırması” olarak Singapur Telekomünikasyon’u (Singtel) ihlal ettiğini söyleyen bir raporun ardından geldi. Siber saldırı Haziran 2024’te keşfedildi.
ABD’deki AT&T, Verizon ve Lumen Technologies gibi telekomünikasyon ve ağ hizmeti sağlayıcıları da Salt Typhoon (diğer adıyla FamousSparrow ve GhostEmperor) adlı başka bir Çin ulus-devlet düşman kolektifinin hedefi haline geldi.
Bu haftanın başlarında The Wall Street Journal, bilgisayar korsanlarının ABD’deki çeşitli üst düzey ulusal güvenlik görevlileri, politika yetkilileri ve politikacılar tarafından kullanılan cep telefonu hatlarını tehlikeye atmak için bu saldırılardan yararlandığını söyledi. Kampanyanın ayrıca başka bir ülkeye ait iletişim sağlayıcılarına “yakından” sızdığı iddia ediliyor. İstihbaratı ABD ile paylaşıyor”