MirrorFace APT: una minaccia informatica persistente che prende di mira il Giappone
Table of Contents
Un'operazione di spionaggio di lunga durata
Il panorama della sicurezza informatica giapponese ha dovuto affrontare una sfida continua sotto forma di MirrorFace APT, un sofisticato gruppo di cyber-spionaggio che si ritiene abbia legami con la Cina. Questo attore della minaccia ha orchestrato attacchi mirati almeno dal 2019, concentrando i suoi sforzi sull'infiltrazione in organizzazioni, aziende e individui di alto profilo in tutto il Giappone. Le autorità della National Police Agency (NPA) e del National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) hanno indicato MirrorFace come un attore importante nelle operazioni informatiche volte a raccogliere informazioni legate alla sicurezza nazionale e ai progressi tecnologici.
MirrorFace e le sue connessioni con APT10
MirrorFace, noto anche come Earth Kasha, è considerato un affiliato del più ampio gruppo APT10, che ha una storia di attività di cyber-spionaggio contro più nazioni. Il gruppo ha utilizzato una serie di strumenti personalizzati e disponibili al pubblico per eseguire le sue operazioni, tra cui ANEL, LODEINFO e NOOPDOOR (noto anche come HiddenFace).
Il gruppo di minacce è noto per l'impiego di tattiche di spear-phishing e per lo sfruttamento delle vulnerabilità di sicurezza per infiltrarsi nei sistemi presi di mira. Mentre il Giappone rimane l'obiettivo principale, le sue operazioni sono state osservate anche a Taiwan e in India, il che suggerisce un interesse strategico più ampio.
Campagne che si svolgono nel tempo
Le attività di MirrorFace sono state suddivise in tre campagne distinte, ciascuna delle quali impiega tecniche e strumenti specifici per violare le reti ed esfiltrare dati:
Prendere di mira entità politiche e mediatiche (2019-2023)
La prima grande campagna, che si è svolta da dicembre 2019 a luglio 2023, si è concentrata su istituzioni politiche, organi di stampa, enti governativi e organizzazioni di ricerca. Utilizzando e-mail di spear-phishing, gli aggressori hanno distribuito payload dannosi come LODEINFO, NOOPDOOR e una variante personalizzata di Lilith RAT (LilimRAT), progettati per la raccolta di informazioni e l'accesso remoto.
Sfruttare le debolezze della sicurezza nelle industrie critiche (2023)
Una seconda ondata di attacchi si è verificata tra febbraio e ottobre 2023, spostando l'attenzione sui settori critici per l'infrastruttura economica e tecnologica del Giappone. Settori come la produzione di semiconduttori, le comunicazioni, l'aerospaziale e il mondo accademico erano obiettivi primari. Questa fase ha comportato lo sfruttamento di vulnerabilità note nei dispositivi rivolti a Internet, in particolare quelli associati ad Array Networks, Citrix e Fortinet. Sfruttando queste debolezze, gli aggressori hanno distribuito strumenti come Cobalt Strike Beacon , LODEINFO e NOOPDOOR per ottenere un punto d'appoggio nelle reti aziendali.
Tattiche e adattamento recenti (2024-presente)
L'ultima campagna nota, emersa nel giugno 2024, si è nuovamente concentrata sul mondo accademico, istituti di ricerca, personaggi politici e personale dei media. Lo spear-phishing rimane il metodo di accesso principale, con gli aggressori che inviano ANEL (chiamato anche UPPERCUT) per compromettere i sistemi e stabilire un accesso persistente.
Tecniche avanzate per la furtività e la persistenza
MirrorFace ha dimostrato la capacità di adattare le sue tattiche per aggirare le moderne misure di sicurezza. Una delle sue tecniche degne di nota prevede l'utilizzo di tunnel remoti di Visual Studio Code, che consentono al gruppo di mantenere un controllo segreto sui sistemi compromessi, eludendo al contempo il rilevamento.
Inoltre, il gruppo è stato osservato mentre eseguiva payload dannosi all'interno di Windows Sandbox, una funzionalità progettata per testare applicazioni sicure. Eseguendo codice dannoso in questo ambiente isolato, gli aggressori assicurano che le tracce delle loro attività scompaiano quando il sistema viene riavviato, impedendo all'analisi forense di scoprire prove cruciali.
Implicazioni per la sicurezza informatica e la difesa
Le operazioni continue di MirrorFace evidenziano le minacce informatiche in evoluzione che il Giappone e la più ampia regione Asia-Pacifico devono affrontare. Data l'attenzione del gruppo sulla sicurezza nazionale, la tecnologia e l'industria, le sue attività potrebbero avere implicazioni significative sia per le politiche governative che per le strategie di sicurezza del settore privato.
Le organizzazioni che operano in settori ad alto rischio devono rimanere vigili e adottare misure di sicurezza informatica proattive per contrastare tali minacce. Ciò include il rafforzamento della sicurezza della posta elettronica, l'aggiornamento regolare del software per correggere le vulnerabilità note e l'implementazione di strumenti di rilevamento avanzati in grado di identificare attività di rete insolite.
Un conflitto informatico continuo
Le attività di MirrorFace APT sottolineano la natura persistente dello spionaggio informatico e l'importanza di sforzi coordinati per la sicurezza informatica. Mentre le autorità sono state in grado di tracciare e analizzare i metodi del gruppo, la sfida continua a essere quella di mitigarne l'impatto e di anticipare gli attacchi futuri. Mentre gli attori delle minacce continuano a perfezionare le loro tecniche, nazioni e organizzazioni devono migliorare le loro difese per proteggere le informazioni sensibili da accessi non autorizzati.
