MirrorFace APT: una amenaza cibernética persistente dirigida a Japón
Table of Contents
Una operación de espionaje de larga duración
El panorama de la ciberseguridad en Japón se ha enfrentado a un desafío constante en forma de MirrorFace APT, un sofisticado grupo de ciberespionaje que se cree que tiene vínculos con China. Este actor de amenazas ha estado orquestando ataques selectivos desde al menos 2019, centrando sus esfuerzos en infiltrarse en organizaciones, empresas e individuos de alto perfil en todo Japón. Las autoridades de la Agencia Nacional de Policía (NPA) y el Centro Nacional de Preparación para Incidentes y Estrategia para la Ciberseguridad (NCSC) han señalado a MirrorFace como un actor importante en las operaciones cibernéticas destinadas a recopilar inteligencia vinculada a la seguridad nacional y los avances tecnológicos.
MirrorFace y sus conexiones con APT10
MirrorFace, también conocido como Earth Kasha, se considera un afiliado del grupo más grande APT10, que tiene antecedentes de realizar actividades de ciberespionaje contra múltiples naciones. El grupo ha utilizado una variedad de herramientas personalizadas y disponibles públicamente para ejecutar sus operaciones, incluidas ANEL, LODEINFO y NOOPDOOR (también conocido como HiddenFace).
El grupo de amenazas es conocido por emplear tácticas de phishing selectivo y explotar vulnerabilidades de seguridad para infiltrarse en sistemas específicos. Si bien Japón sigue siendo el principal foco de atención, también se han observado operaciones en Taiwán y la India, lo que sugiere un interés estratégico más amplio.
Campañas que se desarrollan a lo largo del tiempo
Las actividades de MirrorFace se han categorizado en tres campañas distintas, cada una de las cuales emplea técnicas y herramientas específicas para violar redes y exfiltrar datos:
Entidades políticas y mediáticas en la mira (2019-2023)
La primera gran campaña, que se extendió desde diciembre de 2019 hasta julio de 2023, se centró en instituciones políticas, medios de comunicación, organismos gubernamentales y organizaciones de investigación. Mediante el envío de correos electrónicos de phishing selectivo, los atacantes distribuyeron cargas útiles maliciosas como LODEINFO, NOOPDOOR y una variante personalizada de Lilith RAT (LilimRAT), diseñada para la recopilación de información y el acceso remoto.
Explotación de debilidades de seguridad en industrias críticas (2023)
Entre febrero y octubre de 2023 se produjo una segunda oleada de ataques que desplazó la atención hacia sectores críticos para la infraestructura económica y tecnológica de Japón. Sectores como la fabricación de semiconductores, las comunicaciones, la industria aeroespacial y el mundo académico fueron los principales objetivos. Esta fase implicó la explotación de vulnerabilidades conocidas en dispositivos conectados a Internet, en particular las asociadas con Array Networks, Citrix y Fortinet. Aprovechando estas debilidades, los atacantes implementaron herramientas como Cobalt Strike Beacon , LODEINFO y NOOPDOOR para afianzarse en las redes corporativas.
Tácticas recientes y adaptación (2024-presente)
La última campaña conocida, que surgió en junio de 2024, se ha centrado una vez más en el mundo académico, las instituciones de investigación, las figuras políticas y el personal de los medios de comunicación. El spear-phishing sigue siendo el principal método de entrada, y los atacantes envían ANEL (también llamado UPPERCUT) para comprometer los sistemas y establecer un acceso persistente.
Técnicas avanzadas de sigilo y persistencia
MirrorFace ha demostrado su capacidad para adaptar sus tácticas para eludir las medidas de seguridad modernas. Una de sus técnicas más destacadas consiste en utilizar túneles remotos de Visual Studio Code, lo que permite al grupo mantener un control encubierto sobre los sistemas comprometidos y evitar ser detectado.
Además, se ha observado que el grupo ejecuta cargas maliciosas en Windows Sandbox, una función diseñada para realizar pruebas de aplicaciones seguras. Al ejecutar código dañino en este entorno aislado, los atacantes se aseguran de que los rastros de sus actividades desaparezcan cuando se reinicia el sistema, lo que impide que el análisis forense descubra pruebas cruciales.
Implicaciones para la ciberseguridad y la defensa
Las operaciones continuas de MirrorFace ponen de relieve la evolución de las amenazas cibernéticas a las que se enfrentan Japón y la región de Asia y el Pacífico en general. Dado el enfoque del grupo en la seguridad nacional, la tecnología y la industria, sus actividades podrían tener implicaciones significativas tanto para las políticas gubernamentales como para las estrategias de seguridad del sector privado.
Las organizaciones que operan en sectores de alto riesgo deben permanecer alertas y adoptar medidas proactivas de ciberseguridad para contrarrestar dichas amenazas. Esto incluye reforzar la seguridad del correo electrónico, actualizar periódicamente el software para corregir las vulnerabilidades conocidas e implementar herramientas de detección avanzadas capaces de identificar actividades inusuales en la red.
Un conflicto cibernético que continúa
Las actividades de la APT MirrorFace ponen de relieve la naturaleza persistente del ciberespionaje y la importancia de coordinar los esfuerzos en materia de ciberseguridad. Si bien las autoridades han podido rastrear y analizar los métodos del grupo, el desafío actual sigue siendo mitigar su impacto y anticiparse a futuros ataques. A medida que los actores de amenazas siguen perfeccionando sus técnicas, las naciones y las organizaciones deben mejorar sus defensas para proteger la información confidencial del acceso no autorizado.
