MirrorFace APT : une cybermenace persistante visant le Japon

Une opération d'espionnage de longue haleine

Le paysage de la cybersécurité au Japon est confronté à un défi permanent sous la forme de MirrorFace APT, un groupe de cyberespionnage sophistiqué qui aurait des liens avec la Chine. Cet acteur de la menace orchestre des attaques ciblées depuis au moins 2019, concentrant ses efforts sur l'infiltration d'organisations, d'entreprises et de personnalités de premier plan dans tout le Japon. Les autorités de l'Agence nationale de police (NPA) et du Centre national de préparation aux incidents et de stratégie pour la cybersécurité (NCSC) ont désigné MirrorFace comme un acteur majeur des opérations cybernétiques visant à recueillir des renseignements liés à la sécurité nationale et aux avancées technologiques.

MirrorFace et ses connexions avec APT10

MirrorFace, également connu sous le nom de Earth Kasha, est considéré comme une filiale du groupe APT10, qui a pour habitude de mener des activités de cyberespionnage contre plusieurs nations. Le groupe a utilisé une gamme d'outils personnalisés et accessibles au public pour exécuter ses opérations, notamment ANEL, LODEINFO et NOOPDOOR (également appelé HiddenFace).

Le groupe de cybercriminels est connu pour utiliser des tactiques de spear-phishing et exploiter les vulnérabilités de sécurité pour infiltrer les systèmes ciblés. Bien que le Japon reste la cible principale, ses opérations ont également été observées à Taiwan et en Inde, ce qui suggère un intérêt stratégique plus large.

Des campagnes qui se déroulent au fil du temps

Les activités de MirrorFace ont été classées en trois campagnes distinctes, chacune utilisant des techniques et des outils spécifiques pour pénétrer les réseaux et exfiltrer des données :

Ciblage des entités politiques et médiatiques (2019-2023)

La première campagne d'envergure, qui s'est déroulée de décembre 2019 à juillet 2023, a ciblé des institutions politiques, des médias, des organismes gouvernementaux et des organismes de recherche. En déployant des e-mails de spear-phishing, les attaquants ont diffusé des charges utiles malveillantes telles que LODEINFO, NOOPDOOR et une variante personnalisée de Lilith RAT (LilimRAT), conçue pour la collecte d'informations et l'accès à distance.

Exploiter les faiblesses de sécurité dans les industries critiques (2023)

Une deuxième vague d'attaques a eu lieu entre février et octobre 2023, attirant l'attention sur les secteurs essentiels à l'infrastructure économique et technologique du Japon. Les secteurs tels que la fabrication de semi-conducteurs, les communications, l'aérospatiale et le monde universitaire étaient les principales cibles. Cette phase impliquait l'exploitation de vulnérabilités connues dans les appareils connectés à Internet, en particulier ceux associés à Array Networks, Citrix et Fortinet. En exploitant ces faiblesses, les attaquants ont déployé des outils tels que Cobalt Strike Beacon , LODEINFO et NOOPDOOR pour prendre pied dans les réseaux d'entreprise.

Tactiques récentes et adaptation (2024-présent)

La dernière campagne connue, apparue en juin 2024, s'est une fois de plus concentrée sur le monde universitaire, les instituts de recherche, les personnalités politiques et le personnel des médias. L'hameçonnage ciblé reste la principale méthode d'entrée, les attaquants utilisant ANEL (également appelé UPPERCUT) pour compromettre les systèmes et établir un accès permanent.

Techniques avancées de furtivité et de persistance

MirrorFace a démontré sa capacité à adapter ses tactiques pour contourner les mesures de sécurité modernes. L'une de ses techniques les plus remarquables consiste à utiliser des tunnels distants Visual Studio Code, ce qui permet au groupe de maintenir un contrôle secret sur les systèmes compromis tout en échappant à la détection.

De plus, le groupe a été observé en train d'exécuter des charges malveillantes dans Windows Sandbox, une fonctionnalité conçue pour tester des applications en toute sécurité. En exécutant du code malveillant dans cet environnement isolé, les attaquants s'assurent que les traces de leurs activités disparaissent au redémarrage du système, empêchant ainsi l'analyse médico-légale de révéler des preuves cruciales.

Conséquences pour la cybersécurité et la défense

La poursuite des opérations de MirrorFace met en évidence l'évolution des cybermenaces auxquelles sont confrontés le Japon et la région Asie-Pacifique. Étant donné l'accent mis par le groupe sur la sécurité nationale, la technologie et l'industrie, ses activités pourraient avoir des implications importantes pour les politiques gouvernementales et les stratégies de sécurité du secteur privé.

Les organisations opérant dans des secteurs à haut risque doivent rester vigilantes et adopter des mesures proactives de cybersécurité pour contrer ces menaces. Cela comprend le renforcement de la sécurité des e-mails, la mise à jour régulière des logiciels pour corriger les vulnérabilités connues et le déploiement d’outils de détection avancés capables d’identifier les activités inhabituelles sur le réseau.

Un conflit cybernétique qui perdure

Les activités de MirrorFace APT soulignent la nature persistante du cyberespionnage et l’importance d’efforts coordonnés en matière de cybersécurité. Si les autorités ont pu suivre et analyser les méthodes du groupe, le défi permanent consiste à atténuer son impact et à anticiper de futures attaques. Alors que les acteurs de la menace continuent d’affiner leurs techniques, les pays et les organisations doivent renforcer leurs défenses pour protéger les informations sensibles contre tout accès non autorisé.

Par Willa
January 10, 2025
Malware
Français
January 10, 2025
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.