MirrorFace APT: Uma ameaça cibernética persistente visando o Japão

Uma operação de espionagem de longa duração

O cenário de segurança cibernética do Japão tem enfrentado um desafio contínuo na forma do MirrorFace APT, um sofisticado grupo de espionagem cibernética que se acredita ter laços com a China. Esse ator de ameaças tem orquestrado ataques direcionados desde pelo menos 2019, concentrando seus esforços em infiltrar organizações, empresas e indivíduos de alto perfil em todo o Japão. Autoridades da Agência Nacional de Polícia (NPA) e do Centro Nacional de Preparação para Incidentes e Estratégia para Segurança Cibernética (NCSC) apontaram o MirrorFace como um importante player em operações cibernéticas destinadas a reunir inteligência vinculada à segurança nacional e aos avanços tecnológicos.

MirrorFace e suas conexões com APT10

MirrorFace, também conhecido como Earth Kasha, é considerado um afiliado do grupo maior APT10, que tem um histórico de conduzir atividades de ciberespionagem contra várias nações. O grupo utilizou uma série de ferramentas personalizadas e disponíveis publicamente para executar suas operações, incluindo ANEL, LODEINFO e NOOPDOOR (também conhecido como HiddenFace).

O grupo de ameaças é conhecido por empregar táticas de spear-phishing e explorar vulnerabilidades de segurança para se infiltrar em sistemas alvos. Embora o Japão continue sendo o foco principal, suas operações também foram observadas em Taiwan e na Índia, sugerindo um interesse estratégico mais amplo.

Campanhas se desenrolando ao longo do tempo

As atividades do MirrorFace foram categorizadas em três campanhas distintas, cada uma empregando técnicas e ferramentas específicas para invadir redes e exfiltrar dados:

Segmentação de entidades políticas e de mídia (2019–2023)

A primeira grande campanha, que durou de dezembro de 2019 a julho de 2023, focou em instituições políticas, veículos de mídia, órgãos governamentais e organizações de pesquisa. Ao implantar e-mails de spear-phishing, os invasores distribuíram payloads maliciosos como LODEINFO, NOOPDOOR e uma variante personalizada do Lilith RAT (LilimRAT), projetada para coleta de informações e acesso remoto.

Explorando Fraquezas de Segurança em Indústrias Críticas (2023)

Uma segunda onda de ataques ocorreu entre fevereiro e outubro de 2023, mudando a atenção para indústrias críticas para a infraestrutura econômica e tecnológica do Japão. Setores como fabricação de semicondutores, comunicações, aeroespacial e academia foram os principais alvos. Esta fase envolveu a exploração de vulnerabilidades conhecidas em dispositivos voltados para a internet, particularmente aqueles associados a Array Networks, Citrix e Fortinet. Ao alavancar essas fraquezas, os invasores implantaram ferramentas como Cobalt Strike Beacon , LODEINFO e NOOPDOOR para ganhar uma posição dentro de redes corporativas.

Táticas e Adaptação Recentes (2024–Presente)

A mais recente campanha conhecida, que surgiu em junho de 2024, mais uma vez se concentrou em academia, instituições de pesquisa, figuras políticas e pessoal da mídia. Spear-phishing continua sendo o principal método de entrada, com invasores entregando ANEL (também chamado de UPPERCUT) para comprometer sistemas e estabelecer acesso persistente.

Técnicas avançadas para furtividade e persistência

O MirrorFace demonstrou uma habilidade de adaptar suas táticas para contornar medidas de segurança modernas. Uma de suas técnicas notáveis envolve o uso de túneis remotos do Visual Studio Code, o que permite que o grupo mantenha controle secreto sobre sistemas comprometidos enquanto evita a detecção.

Além disso, o grupo foi observado executando payloads maliciosos dentro do Windows Sandbox, um recurso projetado para testes seguros de aplicativos. Ao executar código prejudicial neste ambiente isolado, os invasores garantem que os rastros de suas atividades desapareçam quando o sistema for reiniciado, impedindo que a análise forense descubra evidências cruciais.

Implicações para a segurança cibernética e defesa

As operações contínuas do MirrorFace destacam as ameaças cibernéticas em evolução que o Japão e a região Ásia-Pacífico enfrentam. Dado o foco do grupo em segurança nacional, tecnologia e indústria, suas atividades podem ter implicações significativas tanto para políticas governamentais quanto para estratégias de segurança do setor privado.

Organizações que operam em setores de alto risco devem permanecer vigilantes e adotar medidas proativas de segurança cibernética para combater tais ameaças. Isso inclui fortalecer a segurança de e-mail, atualizar regularmente o software para corrigir vulnerabilidades conhecidas e implantar ferramentas avançadas de detecção capazes de identificar atividades incomuns na rede.

Um conflito cibernético contínuo

As atividades do MirrorFace APT destacam a natureza persistente da espionagem cibernética e a importância de esforços coordenados de segurança cibernética. Embora as autoridades tenham conseguido rastrear e analisar os métodos do grupo, o desafio contínuo continua sendo mitigar seu impacto e ficar à frente de ataques futuros. À medida que os agentes de ameaças continuam refinando suas técnicas, as nações e organizações devem aprimorar suas defesas para proteger informações confidenciais de acesso não autorizado.